近期，深信服安全专家，通过深信服安全感知和终端检测响应平台，结合深信服安全云脑的威胁情报信息，追踪发现了一新型挖矿病毒，主机感染量近10万，中毒主机，多表现为异常卡顿，严重影响主机性能和业务正常运行。深信服将其命名为bearminer，其中文代号为“灰熊矿业”。其挖矿思路采用了特殊的手段，且相对隐蔽，能绕过当前主流的杀毒软件，并且潜伏多个月。运用的手段包括伪装、加密混淆、自我修改、大文件、可控等。

病毒名称：bearminer

病毒性质：新型挖矿病毒

影响范围：近10万主机感染量

危害等级：高危

查杀难度：难

病毒分析

       病毒作者，将其命名为“灰熊矿业”（这也是深信服将此病毒命名为bearminer的原因）。由此可推断该病毒为国内黑客或黑客组织制作。从病毒版本9.0可见病毒已经迭代超过9个版本。

攻击场景

此次挖矿病毒，其挖矿思路经过精心构思，涉及的病毒模块多，关系相对复杂，其攻击场景大体简化为如下结构：

       其中，imaging.exe是病毒母体，主要有自我修改、主功能、进程监控、通信四大模块。自我修改模块负责读取程序自身文件然后在其后面加上大量垃圾信息并包含随机数，所以通过md5对比无法查杀。进程监控模块负责监控进程，在必要时杀死指定进程。主功能模块负责调度各个模块，通过与通信模块配合，完成从云端到本地的命令下发与执行。

       sadats.dll是通过云端下载得到的文件，被imaging.exe所加载，负责释放并执行挖矿程序setring.exe。

hxxp://miner.gsbean.com/upload/sadats.jpg并不是一个jpg图片文件，而是一个加密的携带命令信息的文件，某种意义上，就是c&c通道，是这一挖矿病毒的指挥中心。imaging.exe相当于一个机器人，由sadats.jpg决定它该做什么、怎么做。

       hxxp://80.255.3.69/upload/usdata.txt，同理的，也不是一个txt文本文件，是一个加密了的携带挖矿二进制代码的文件。

云端的sadats.jpg和usdata.txt下载并释放到本地后配合完成挖矿动作。某种意义上，云端的sadats.jpg和usdata.txt完全可以轻而易举地摇身一变，从一挖矿病毒变成勒索病毒，给用户造成更大的损害。

       setring.exe运行了多个线程进行挖矿，监测到cpu占有率达到75%。

       setring.exe挖矿文件被释放在c:\program files (x86)\microsoft msbuild\setring.exe，可以看到，这个病毒特意伪装成为了nvidia的文件（nvidia显卡市场覆盖极广，其文件一般会被认为是安全的），图标也是英伟达官方图标。

低识别率

       挖矿病毒主要是需要能够持续挖矿，持续产生收益。第一要务，就是要有“低识别率”。最好，能骗过普通用户，能给安全分析人员产生干扰，还能骗过杀毒引擎，能不被杀毒软件上传到云端进行分析。那么如何做到这一点呢？bearminer主要运用了如下几个手段：伪装、加密混淆、自我修改、大文件、可控。

伪装：病毒母体图标及命名等信息都伪装成了系统程序，且程序大小达到了150m，看起来非常像一个正常的应用软件。

加密混淆：首先解密出一些要用到的字符串。在后面的分析中发现，在程序中用了大量的加密以及代码混淆，很大程度上增加了分析的难度。

       自我修改：bearminer首次运行时，会读取程序自身文件然后在其后面加上大量垃圾信息并包含随机数，所以通过md5对比无法查杀。

大文件：通常来说，病毒文件都比较小，但bearminer却反其道而行之。它就是故意把文件“放大”，而杀毒软件对于上传的样本往往都有大小限制，从一定程度上避免了被上传分析的风险。

可控：同时也可以看到，作者留了一个终止挖矿并删除挖矿程序的开关，能够随时删除挖矿程序避免被追踪。

矿池地址

钱包地址如下：

48j5us6qwvquak7e1gkc6mfmh52183tnrdqryjxv7mmngvx9t1gupteb35qwefnspphglweqxhry7jcxedzc6ub8muwyafq。

        截至目前，该挖矿病毒已经挖了420个门罗币，1台普通电脑挖矿24个小时，贡献的哈希值是12685000，产出是0.000487个门罗币。短短时间已有420个门罗币可见其感染量巨大。

凯发登录的解决方案

1、病毒拦截：深信服防火墙用户，可升级僵尸网络识别库20180707，进行拦截防护。

2、病毒检测：深信服安全感知平台用户，可升级僵尸网络识别库20180707，进行病毒检测识别。

3、病毒查杀：深信服免费提供edr工具帮助广大用户进行病毒查杀（下载地址为：http://edr.sangfor.com.cn/）。

4.使用了第三方安全设备的用户，也可以通过封堵以下两个url，进行防护：

http://miner.gsbean.com/upload/sadats.jpg

http://80.255.3.69/upload/usdata.txt