近日，安天 CERT 在梳理網絡安全事 件時發現一個名為 GroksterMiner 挖礦木馬 程序。GroksterMiner 將自身命名為“Lucio Dalla Discografia Completa”，目的是偽裝 成一個著名的意大利歌手唱片集合，誘惑 歌迷運行，釋放門羅幣挖礦程序，并通過 P2P 網絡傳播，威脅極大。

      樣本母體程序是一個 SFX 格式（自解 壓）的文件，用 7-Zip 或者 WinRAR 打開 后可以看見這個母體程序包含 13 個 .tmp 文件、1 個 .vbs 腳本、1 個 .bat 批處理腳本 和 1 個 setup 文件。當該母體程序被雙擊 運行時會執行 run.vbs 腳本，并且該程序在 釋放文件時會覆蓋當前目錄下的任何同名 文件且無需用戶確認。run.vbs 腳本退出后，繼而以后臺啟動的方式運行 installer.bat 批 處 理 腳 本。installer.bat 腳 本 的 最 終 目 的 是將當前文件夾下的 001.tmp 復制到自啟 動 文 件 夾， 并 重 命 名 為“svchost.exe”。 svchost.exe 的目的是釋放挖礦程序進行挖 礦。該挖礦木馬為了降低被檢出率，使用 了以下技術：使用自解壓程序隱藏惡意 PE 文件內容、使用文件加殼加文件拆分技術， 將惡意文件加殼后拆分為多個部分，使用 時再將其組合起來。在進行 P2P 傳播時， 將惡意文件 DOS 頭中“program”替換為 隨機的 7 位字符，使文件在每次運行時出 現不同的 HASH 值。

      安天 CERT 提醒廣大政企客戶，應提 高網絡安全意識，在日常工作中及時進行系統更新和漏洞修復，不隨意下載非正版 的應用軟件、注冊機等。收發郵件時應確 認收發來源是否可靠，不隨意點擊或者復 制郵件中的網址，不輕易下載來源不明的 附件，發現網絡異常要提高警惕并及時采 取應對措施，養成及時更新操作系統和軟 件應用的良好習慣。確保所有的計算機在 使用遠程桌面服務時避免使用弱密碼，如 果業務上無需使用遠程桌面服務，建議將 其關閉。

      目前，安天追影產品已經實現了對該 類挖礦木馬的鑒定；安天智甲已經實現了 對該挖礦木馬的查殺。