名为AV-scr“Photo-scr“Video-scr的服务器挖矿病毒

病毒文件：AV.scr，Photo.scr，Video.scr等

病毒名：Worm/Python.Systweak.a

病毒ID：91539ba6837b71d0

作者对病毒文件的分析没有专攻过，分享此篇博客仅供分享经验
该文最初发布于Bilibili网站： 点击进入。

一、前言

最近闲来无事，用火绒杀查了一下电脑。不查不知道，一查吓一跳，火绒竟然爆出了25个风险项目！

这些蠕虫病毒哪里来的呢？通过查询这些病毒文件所在的路径，可以发现它们原来是来自当初为了方便共享而搭建的简易的FTP服务器。

这些病毒入侵了我的FTP服务器，并且遍历了服务器内的所有路径和文件，在每一层路径中都扎根埋种。

而它们竟然在我的电脑里埋伏了将近四个月。

二、分析

本节是关于分析该病毒的步骤。

为了防止电脑被感染，我将这些病毒进行备份提取后，再移至虚拟机，利用火绒剑等软件监控这些病毒的运行，并且找到了它们的目标。

首先，将“AV.scr”“Photo.scr”“Video.scr”三个文件的哈希值进行比较，可以发现三个文件除了名称不同，其余均相同，属相同病毒文件。

其次，用火绒剑，任选三者其一打开，并其监控行为。

在监控中，我们可以发现，该病毒文件在WIN系统的运行大致逻辑如下（xxxx均指用户名称）：

1. 以屏幕保护程序的身份运行，读取注册表、调用相关DLL；

2. 在“C:\Users\xxxx\AppData\Local\Temp”下创建以 “_MEIXXXXX” 为名称的文件夹；

3. 在上述文件夹内写相关文件；

4. 创建进程，读注册表，调用DLL；

5. 在“C:\Users\xxxx”写自释放文件“HelpPane.exe”；

6. 修改、写入第3步写的文件；

7. 利用系统程序将第2、3步的文件写至“C:\Windows\Temp”；

8. 删除第2、3步写入的文件；

9. 结束病毒的安装。

通过写入的文件我们可以发现，该病毒是一种挖矿病毒，主体是“xmrig”这一款软件。

其中，根据病毒写入的文件我们大致可以推断该病毒利用Python进行编写；此外，在写入的certifi和httplib2文件夹中，存储了相关SSH密钥。

三、处理

1.如何预防该病毒？

在搭建FTP服务器时，尽量不启用匿名登陆，或者修改匿名登陆默认密码。

2.如何判断是否感染该病毒？

检查服务器内是否存在“AV.scr”“Photo.scr”“Video.scr”“info.zip”等文件；通过任务管理器检查是否存在名为“HelpPane.exe”和“xmrig.exe”的进程；检查如“C:\Users\xxxx”下是否有“HelpPane.exe”文件，“C:\Windows\Temp”下是否有如图“写入的文件（1）”中所示的内容；利用杀毒软件杀查病毒。

3.如何处理该病毒？

不要点开（双击打开等）scr文件。

WIN系统下将服务器内的病毒文件全部删掉，将系统内病毒写入的文件删除完毕即可（可使用文件粉碎软件防止病毒恢复）；利用杀毒软件隔离病毒。

如果病毒难以清除，建议重装系统！

注：LINUX下未见感染性（ubuntu）。

感谢阅读！