啧啧啧，这个PhotoMiner木马感染肉鸡电脑挖门罗币，两年赚了8900万人民币

0x1 概述

近日，腾讯御见威胁情报中心发现几起用户感染挖矿木马事件，对其分析溯源发现木马是老牌PhotoMiner木马，该木马2016年首次被发现，该木马通过入侵感染FTP服务器和SMB服务器暴力破解来扩大传播范围，目前该木马门罗币挖矿累计金额已经达到惊人的8900万人民币，成为名副其实的“黄金矿工”。

0x2 威胁等级（中危）

危害评估：★★★☆☆

该木马通过FTP和SMB达到自传播，扩大受害范围。

影响评估：★★★☆☆

该木马自2016年被发现，但现在依然活跃，并且挖矿金额已经高达8900万。

技术评估：★★☆☆☆

该木马通过弱口令感染传播。

0x3 影响面

弱口令 FTP Server、SMB服务

0x4 样本分析

该挖矿木马伪装成屏幕保护程序.scr文件，使用文件夹图标，大部分Windows用户使用默认设置“不显示文件扩展名”，因而该木马会被用户误认为文件夹而去双击。

木马运行后，首先会去访问远程服务器，获取挖矿配置信息，配置信息已被加密，木马访问获取到配置信息再去解密。

解密后的配置信息

如果远程服务器没有返回配置信息，则会启用样本内置钱包地址和矿池，在确定配置信息后，会从自身资源文件中提取矿机程序，并释放到%temp%目录下。利用ShellExecute函数启动矿机程序。启动矿机程序后设置注册表自启动，并且将自身复制到各个磁盘根目录下。

设置注册表启动

复制到所有磁盘根目录

复制完后，开启线程，线程首先生成随机IP作为FTP服务器进行内置密码字典破解。

内置密码字典

破解成功进入FTP服务器后，进行文件查找，查找目标后缀为php、PHP、htm、HTM、xml、XML、dhtm、DHTM、phtm、xht、htx、mht、bml、asp、shtm的网页格式文件，找到后在文件中添加包含自身的

插入iframe元素

遍历插入结束后，将FTP服务器信息发送回C2服务器。

0x5 关联分析

根据该木马特点溯源分析其实是PhotoMiner木马，该木马最早发现与2016年6月，擅长利用FTP服务器字典爆破进行传播，在部分受害者服务器上可以看到被种下的Photo.scr木马。

受害者服务器上被感染Photo.scr

当其他用户去访问FTP服务器上的感染页面时，就会自动下载Photo.scr，被下载后利用自身伪装成屏幕保护程序，诱使受害者运行。

被感染的页面

在溯源时发现PhotoMiner还支持SMB传播的变种。

溯源过程发现感染两种版本的PhotoMiner

Info.zip为同时支持ftp和smb传播的变种，该变种为NSIS安装包，运行后，挖矿与Photo.src一样，不过还利用arp -a 和 net view获取本地缓存，再使用net use进行帐号密码猜解，成功后，将自身复制到可远程访问和自启动位置。

Net use进行帐号密码猜解

全球受PhotoMiner感染FTP服务器分布比例。中国（26%）、美国（25%）、德国（12%）位居前三。

对其相关钱包地址查询后发现，PhotoMiner挖矿木马已经挖取门罗币高达80094枚，按最新价格折算，已累计金额达到8911万人民币。

已挖取到的门罗币

挖取的总金额

0x6 解决方案

腾讯御见威胁情报中心提醒用户不要随意下载、运行来历不明的程序，企业网管应正确配置FTP和SMB服务器访问权限，不要使用容易被暴力破解的简单口令。腾讯电脑管家的“反挖矿防护”功能可以拦截各类挖矿木马，还可拦截各种含有挖矿脚本的带毒网页，网友可以使用腾讯电脑管家保护自己的系统，避免成为病毒控制的矿工。