国家计算机病毒应急处理中心通过对互联网的监测发现了一款名为PowerGhost的恶意挖矿软件。该恶意软件在感染了目标主机之后不仅可以在后台挖矿,还能够感染企业大型网络内的其他主机,包括工作站和服务器等。该恶意软件已经在印度,巴西,哥伦比亚和土耳其等多国的企业网络上传播。此恶意程序感染计算机后,会盗用计算机的资源挖掘未公开的加密货币。
PowerGhost恶意软件其实是一个经过了混淆处理的PowerShell脚本,其中包含的核心组件有:挖矿主程序、mimikatz调试器、一个用于实现反射PE注入的模块、用于利用EternalBlue漏洞的ShellCode以及相关的依赖库链接文件。
这款恶意软件使用了各种无文件技术来隐藏自己的活动踪迹,并利用漏洞和远程管理工具来远程感染目标设备。在实现感染的过程中,恶意软件会运行一个PowerShell脚本,下载了挖矿主程序之后,脚本会立即启动恶意软件,而不是直接将其存入主机的硬盘中。
PowerGhost的主要攻击目标是企业用户,针对该恶意软件所造成的危害,建议企业用户加强内部局域网的安全防护,根据自身需求,合理配置企业级安全防护软件,制定安全防护措施。另外,对于未知或不安全的网站,个人用户不要随意访问,同时安装个人安全防护软件并将病毒库更新至最新版本。
联系方式:
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
