安全人员发现神秘门罗币挖矿软件可绕过检测分析

站长之家（ChinaZ.com）8月15日消息：据TNW报道，网络安全研究员Varonis发现了一种神秘的加密货币挖矿恶意软件“Norman”，它使用强大的技术来避免检测和分析。

该软件公司已确定该恶意软件基于门罗币挖矿软件 Xmrig，该软件是开源的并托管在 Github 上。

到目前为止，Norman 已经袭击了至少一家“中型”公司，几乎感染了其网络上的所有工作站和服务器。

分析人士认为，该恶意软件的部署分为三个阶段：执行、植入和最后的加密货币挖掘。 一旦攻击目标执行恶意文件，病毒会根据设备操作系统的位类型（32位或64位）进行不同的处理，但它们都具有门罗币挖矿和检测两种功能回避。

值得注意的是，当用户打开 Windows 任务管理器时，Norman 会自动关闭恶意进程。

幸运的是，诺曼这个特殊变体的门罗币挖矿属性似乎已经被移除。 研究人员指出盗USDT软件，诺曼选择的门罗币矿池的XMR地址已经被禁止接收诺曼生成的加密货币。

Norman 的一个奇怪之处是还有一个 PHP“外壳”，它与恶意命令和控制 (C&C) 服务器保持连接。 这意味着攻击者可能打算远程控制诺曼盗USDT软件，分析人员发现该恶意软件进入了一个不断等待新指令的“循环”。

据分析，这款恶意挖矿软件极有可能来自法国或其他法语国家。