NSRminer加密货币挖矿机深入分析与防御指南<\/h1>

一、NSRminer概述<\/h2>
NSRminer是一种利用EternalBlue漏洞传播的加密货币挖矿恶意软件，主要活跃于亚洲地区（特别是越南）。该恶意软件自2017年WannaCry爆发后持续存在，2018年11月出现重大更新版本。<\/p>

二、感染机制分析<\/h2>

1. 通过Updater模块感染<\/h3>

感染流程<\/strong>：<\/p>

已感染旧版本的系统连接至tecate[.]traduires[.]com下载updater模块<\/li>
Updater模块保存为%systemroot%\temp\tmp[xx].exe<\/code>（[xx]为GetTickCount()返回值）<\/li>
从编码IP地址下载WUDHostUpgrade[xx].exe<\/code>到相同目录<\/li> <\/ol> WUDHostUpgrade[xx].exe执行流程<\/strong>：<\/p> 检查mutex确认是否已感染最新版本<\/li> 删除旧版本文件：MarsTraceDiagnostics.xml<\/code>、snmpstorsrv.dll<\/code>和MgmtFilterShim.ini<\/code><\/li> 从资源段提取新版本文件到系统目录<\/li> 复制svchost.exe<\/code>的时间戳属性到新文件<\/li> 创建snmpstorsrv<\/code>服务并注册snmpstorsrv.dll<\/code>为servicedll<\/li> <\/ul> 2. 通过Wininit.exe和漏洞利用感染<\/h3> 传播流程<\/strong>：<\/p> wininit.exe<\/code>解压数据到%systemroot%\AppDiagnostics\blue.xml<\/code><\/li> 解压包含Eternalblue 2.2.0漏洞利用的svchost.exe<\/code><\/li> 写入x86.dll<\/code>和x64.dll<\/code>到AppDiagnostics目录<\/li> 扫描本地网络TCP 445端口寻找易受攻击系统<\/li> 利用成功后执行spoolsv.exe<\/code>（DoublePulsar 1.3.1后门）<\/li> 根据目标系统注入x86.dll<\/code>或x64.dll<\/code>到lsass.exe<\/code><\/li> <\/ol> 三、恶意组件功能分析<\/h2> 1. Snmpstorsrv服务<\/h3> 主要活动<\/strong>：<\/p> 创建MgmtFilterShim.ini<\/code>文件（内容为"+"）<\/li> 从MarsTraceDiagnostics.xml<\/code>提取恶意URL和挖矿配置<\/li> 删除旧版本组件（服务、任务、文件和文件夹）<\/li> 连接reader[.]pamphler[.]com更新挖矿组件<\/li> 将挖矿机注入svchost.exe<\/code>或写入TrustedHostex.exe<\/code><\/li> 解压wininit.exe<\/code>并注入svchost.exe<\/code>或写入%systemroot%\AppDiagnostics\wininit.exe<\/code><\/li> 监听端口60153<\/li> 发送系统信息到远程服务器： pluck[.]moisture[.]tk：MAC地址、IP、系统名、OS信息<\/li> jump[.]taucepan[.]com：处理器和内存信息<\/li> <\/ul> <\/li> <\/ul> 2. 挖矿模块<\/h3> 技术细节<\/strong>：<\/p> 使用XMRig Monero CPU挖矿机<\/li> 主要参数： -o, --url=URL 挖矿服务URL -u, --user=USERNAME 挖矿服务器用户名 -p, --pass=PASSWORD 挖矿服务器密码 -t, --threads=N 挖矿线程数 --donate-level=N 默认5% (每100分钟挖矿5分钟) --nicehash 启用nicehash.com支持 <\/code><\/pre> <\/li> 挖矿机在内存中解压缩后注入进程<\/li> <\/ul> 四、关键文件与注册项<\/h2> 恶意文件列表：<\/h3> %systemroot%\temp\tmp[xx].exe<\/code> - Updater模块<\/li> %systemroot%\temp\WUDHostUpgrade[xx].exe<\/code> - 升级模块<\/li> %systemroot%\system32\MarsTraceDiagnostics.xml<\/code> - 配置数据<\/li> %systemroot%\system32\snmpstorsrv.dll<\/code> - 服务DLL<\/li> %systemroot%\system32\MgmtFilterShim.ini<\/code> - 标记文件<\/li> %systemroot%\system32\TrustedHostex.exe<\/code> - 挖矿机<\/li> %systemroot%\AppDiagnostics\wininit.exe<\/code> - 漏洞利用组件<\/li> %systemroot%\AppDiagnostics\blue.xml<\/code> - 压缩的漏洞利用<\/li> %systemroot%\AppDiagnostics\x86.dll\/x64.dll<\/code> - 注入模块<\/li> <\/ul> 服务与注册项：<\/h3> snmpstorsrv<\/code>服务（通过svchost.exe -k netsvcs启动）<\/li> 相关mutex用于检测感染状态<\/li> <\/ul> 五、防御与清除方案<\/h2> 预防措施：<\/h3> 及时安装MS17-010补丁修复EternalBlue漏洞<\/li> 关闭不必要的SMBv1协议和445端口<\/li> 部署网络入侵检测系统监控异常流量<\/li> 限制出站连接到已知挖矿池域名<\/li> <\/ol> 检测指标：<\/h3> 异常进程：TrustedHostex.exe<\/code>、异常的svchost.exe<\/code>实例<\/li> 网络连接：到已知恶意域名的连接（.traduires.com, <\/em>.pamphler.com等）<\/li> 端口活动：60153端口监听<\/li> 文件特征：MgmtFilterShim.ini<\/code>（内容为"+"）<\/li> <\/ul> 清除步骤：<\/h3> 终止相关进程：<\/p> TrustedHostex.exe<\/code><\/li> 异常的svchost.exe<\/code>实例<\/li> wininit.exe<\/code>（在AppDiagnostics目录下）<\/li> <\/ul> <\/li> 删除恶意文件：<\/p> del<\/span> \/f \/q %systemroot%\temp\tmp*.exe <\/span><\/span>del<\/span> \/f \/q %systemroot%\temp\WUDHostUpgrade*.exe <\/span><\/span>del<\/span> \/f \/q %systemroot%\system32\MarsTraceDiagnostics.xml <\/span><\/span>del<\/span> \/f \/q %systemroot%\system32\snmpstorsrv.dll <\/span><\/span>del<\/span> \/f \/q %systemroot%\system32\MgmtFilterShim.ini <\/span><\/span>del<\/span> \/f \/q %systemroot%\system32\TrustedHostex.exe <\/span><\/span>rd<\/span> \/s \/q %systemroot%\AppDiagnostics <\/span><\/span><\/code><\/pre><\/li> 移除恶意服务：<\/p> sc stop snmpstorsrv <\/span><\/span>sc delete snmpstorsrv <\/span><\/span><\/code><\/pre><\/li> 检查并清理计划任务<\/p> <\/li> 重置受影响系统的时间戳属性<\/p> <\/li> <\/ol> 六、技术总结<\/h2> NSRminer展示了高级挖矿恶意软件的典型特征：<\/p> 利用已知漏洞（EternalBlue）进行横向移动<\/li> 模块化设计，支持远程更新<\/li> 使用合法进程注入技术（svchost.exe）隐藏恶意活动<\/li> 多阶段部署机制，包含漏洞利用、后门安装和挖矿组件<\/li> 完善的旧版本清理机制，确保单一感染版本<\/li> <\/ol> 该恶意软件特别针对未修复的Windows系统，强调了对关键安全补丁及时安装的重要性。组织应特别关注SMB协议的防护和挖矿活动的网络流量监控。<\/p>

NSRminer加密货币挖矿机深入分析与防御指南<\/h1>

一、NSRminer概述<\/h2> NSRminer是一种利用EternalBlue漏洞传播的加密货币挖矿恶意软件，主要活跃于亚洲地区（特别是越南）。该恶意软件自2017年WannaCry爆发后持续存在，2018年11月出现重大更新版本。<\/p>

二、感染机制分析<\/h2>

三、恶意组件功能分析<\/h2>

四、关键文件与注册项<\/h2>

五、防御与清除方案<\/h2>

一、NSRminer概述<\/h2>
NSRminer是一种利用EternalBlue漏洞传播的加密货币挖矿恶意软件，主要活跃于亚洲地区（特别是越南）。该恶意软件自2017年WannaCry爆发后持续存在，2018年11月出现重大更新版本。<\/p>