1. 布景：
近来，腾讯安全反病毒实验室发现，有一类木马经过网页广告挂马的方法大规划传达。广告内容为色情链接，诱导用户点击。链接中嵌入了一段触发IE缝隙的JS脚本，假如用户电脑的IE浏览器没有及时打好补丁，那么点击链接后将会中招。 木马除了给受害者电脑上增加后门、盗取隐私信息之外，还会运转数字钱银ku的程序从中获利。一起反病毒实验室还发现，木马作者服务器上还保存着 linux 等渠道的木马，以及很多受控服务器后台地址，有或许进一步发起ku等更大规划的进犯。
下面带来具体的剖析。
2. 技能剖析：
2.1. 挂马
色情广告网页中内嵌了带有混杂的JS脚本

解密后是使用 CVE-2019-0189 缝隙

CVE-2019-0189 缝隙是 IE 浏览器脚本引擎缝隙，影响 IE9/10/11 浏览器，因为缝隙使用简略且影响规模大，稳定性好，不容易形成溃散， CVE-2019-0189 缝隙现已成为黑客最常用的缝隙东西之一。木马会从服务器上下载可履行文件在用户电脑上履行。

登录到木马的服务器，发现木马服务器上寄存着有pe ，elf，压缩包 等格局的文件。文件中包括了后门木马程序，开源ku东西以及疑似被进犯方针，下面咱们从这几个方面进行 具体介绍 。

2.2. 后门木马
服务器上Server.exe，build.exe ，dashu.exe三个文件，是同一类型的后门程序。 经过比照，只是在创立服务程序时，服务称号和描述不一样

 
后门程序第一次运转时会查看服务是否现已存在，假如不存在的话，会把自己重命名为随机文件名，然后拷贝到 C:windowssystem32 文件夹下， 以服务的 方式发动

假如是经过服务的方式发动，就履行后门逻辑。

 
现在剖析，后门首要的损害包括：下载并履行歹意文件，发动IE拜访某个 歹意URL等。

 
这儿下载的可履行文件，黑客能够依据自己的需求进行装备。假如装备了服务器上寄存的ku程序 system.exe，那么此刻 肉鸡就变成了黑客的发财东西。
除了以上两个功用外，还包括了大约31种其他的与服务器进行交互的功用。根本思路是承受服务器 传来的参数，解密并履行。
经过剖析，服务器上寄存 sbwang、gnmbs 等 elf 文件，也是带有后门功用的 linux 木马 。

2.3  ku东西
服务器中的最终一个 system.exe 是与ku有关的可履行文件。运转后，system.exe 会在 C:sys  目录下开释多个 文件，随后拉起 nheqminer1.exe 进程，运转参数包括矿池地址和钱包地址， 并修正注册表 ，设置 system.exe 开机自发动，这样中招用户每次开机后，都会履行ku的程序，给木马作者带来 连绵不断的收益。

上图展现的 system.exe 所开释的文件，归于 github 开源的挖 矿结构 nheqminer 。这儿发掘的是 Zcash ，Zcash 相似阅批 ，但又有所不同。阅批等数字钱银以买卖的隐蔽性著称，但能够经过阅批区块链的记载追寻买卖，人们能够精确获悉阅批的发送者。Zcash 对买卖数据进行了匿名处理，而不是像阅批那样要将买卖数据公布于群众。一起 ， ku耗费资源较少，个人电脑即可满意ku的需求。
2.4. 被进犯方针
ips.rar 文件中寄存的是扫描到的布置有 phpmyadmin 的服务器地址

 
这些 ip 根本都是某云 服务商的服务器地址，黑客方针或许是想进犯 布置在其服务器上的使用。搜索黑客挂马服务器的ip，也能看出一些端倪。

[1] [2]  黑客接单网