近日，安天 CERT（安全研究與應(yīng)急 處理中心）在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)一 種名為 Johnnie 的挖礦木馬。該木馬使用了 powershell 腳本以服務(wù)的方式啟動(dòng)，可以較 好地隱蔽自身，取證人員很難發(fā)現(xiàn)其蹤跡。

     Johnnie 木 馬 包 含 多 個(gè) 模 塊。Dropper 文 件 cspsvc.exe 用 于 加 載 powershell 腳 本， 我們稱其為腳本 A。腳本 A 有多種功能， 通 過 其 參 數(shù) 可 以 看 出， 如 Start，Stop， Restart，Status，Setup，Remove，Service， SCMStart，Control 等。其會(huì)獲取命令行參 數(shù)以執(zhí)行相關(guān)操作，會(huì)默認(rèn)啟動(dòng) setup，其 中含有編譯 C# 文件的功能，接著從 %fonts%或 %SoftwareDistribution% 讀 取 配 置 文 件。 Service 中包含加密部分，加密內(nèi)容為一個(gè)新 的 powershell 腳本，稱其為腳本 B。其會(huì)新 建一個(gè)用戶，密碼從配置文件中讀取，然后 從 msupdate.info 下 載 挖 礦 程 序， 釋 放 加 密 的 powershell 腳本 C，此腳本是用于寫入計(jì) 劃任務(wù)以達(dá)到其以多種方式實(shí)現(xiàn)持久化的目 的。

     安天 CERT 提醒廣大政企客戶，要提 高網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及時(shí)進(jìn)行 系統(tǒng)更新和漏洞修復(fù)，不要隨意下載非正版 的應(yīng)用軟件、非官方游戲、注冊(cè)機(jī)等。收發(fā) 郵件時(shí)要確認(rèn)收發(fā)來源是否可靠，更加不要隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址，不要輕易 下載來源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高 警惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng)成及時(shí)更新操 作系統(tǒng)和軟件應(yīng)用的好習(xí)慣。確保沒有任何 計(jì)算機(jī)運(yùn)行直接連接到 Internet 的遠(yuǎn)程桌面 服務(wù)， 而是將運(yùn)行遠(yuǎn)程桌面的計(jì)算機(jī)放在 VPN 之后，只有使用 VPN 才能訪問它們。 同時(shí)也要做好文件的備份，以防止勒索軟件 加密重要文件后無法恢復(fù)。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類惡意代碼的檢出。