任务管理器打开时，新恶意软件矿工悄悄隐藏

认识“Norman” – 一种采用诡计多端的恶意软件的新版本的monero-mining恶意软件，以避免被发现。

数据安全公司Varonis的研究人员在调查“中型公司”的加密矿工时，发现了恶意代码。

“几乎每个服务器和工作站都感染了恶意软件。大多数是密码学家的通用变体。有些是密码转储工具，有些是隐藏的PHP shell，有些已经存在了几年，“该公司表示。

然而，一名矿工脱颖而出 – 诺曼，正如球队称之为。

Norman的有效载荷有两个主要功能：执行其基于XMRig的加密挖掘机并避免检测。

注入后，它会覆盖explorer.exe中的条目以隐藏其存在的证据。当PC的用户打开任务管理器时，它也会停止操作矿工(见下图)。一旦任务管理器未运行，重新注入自身。

恶意软件的miner元素基于GitHib上托管的公开可用的XMRig代码。但是，Varonis发现其monero(XMR)地址被链接到的挖掘池阻止，因此被有效禁用。

研究人员进一步发现了一个可能与Norman链接的PHP shell，它“不断连接到命令和控制(C&C)服务器。”Web shell可以允许远程访问安装它们的系统。

但是，团队发现，当他们运行代码时，它进入了一个等待命令的循环，并且在编写时没有收到任何代码。

该报告还指出，诺曼可能是在法国或法语国家创建的。 “SFX文件有法语评论，表明作者使用法语版的WinRAR来创建文件，”Varonis说。