4月24日，火絨安全團(tuán)隊(duì)發(fā)出警報(bào)，病毒團(tuán)伙利用Adobe Flash漏洞傳播挖礦病毒。病毒團(tuán)伙將挖礦程序植入到游戲下載站“52pk”中（www.52pk.com），當(dāng)用戶訪問該網(wǎng)站，帶毒頁面展示后，無需任何操作，挖礦程序便會(huì)立即運(yùn)行，利用用戶電腦“挖礦”(門羅幣)。特別的是，該病毒使用的“免殺”技術(shù)相比以往的簡單篡改文件哈希有較大改進(jìn)，已經(jīng)有了國外混淆器免殺技術(shù)的雛形，在一定程度上提升了安全軟件對(duì)其查殺的門檻。

通過我們對(duì)該樣本的分析，我們發(fā)現(xiàn)雖然樣本來源為國內(nèi)，但是其所使用的混淆技術(shù)已經(jīng)具備一些簡單的混淆器特征，如：使用無效參數(shù)調(diào)用系統(tǒng)API、利用系統(tǒng)API影響原始鏡像加載流程等。用于解密原始鏡像數(shù)據(jù)的代碼數(shù)據(jù)被存放在資源“YBNHVXA”中，病毒沒有使用資源相關(guān)的API讀取數(shù)據(jù)而是直接通過硬地址進(jìn)行數(shù)據(jù)讀取。

資源數(shù)據(jù)，如下圖所示：

病毒資源

相關(guān)代碼如下圖所示：

獲取解密代碼

在主要病毒邏輯代碼中被插入了大量的無效函數(shù)調(diào)用，參數(shù)全部都為0。如果虛擬機(jī)引擎未對(duì)這些API進(jìn)行模擬，則會(huì)無法解密出原始鏡像數(shù)據(jù)。雖然該病毒所使用的混淆手法極為簡單，但也已經(jīng)具備了混淆器對(duì)抗虛擬機(jī)引擎的一些技術(shù)特點(diǎn)，可能將來國內(nèi)病毒與安全軟件的對(duì)抗方式也會(huì)以混淆器為主。相關(guān)代碼如下圖所示：

混淆代碼

該病毒在火絨虛擬行為沙盒中的運(yùn)行行為，如下圖所示：

虛擬行為沙盒中的病毒行為

在混淆代碼運(yùn)行完成后，最終執(zhí)行的惡意代碼會(huì)挖取門羅幣，礦工相關(guān)信息如下圖所示：

礦工信息

通過對(duì)門羅幣錢包地址的查詢，我們可以看到當(dāng)前為該錢包地址進(jìn)行挖礦的礦工情況，截止到此時(shí)礦工總數(shù)為483。如下圖所述：

門羅幣錢包情況