2017年9月，360互联网安全中心首家发现了利用msSQL进行大规模入侵并释放挖矿木马的僵尸网络。木马先期通过永恒之蓝漏洞进行传播，后期转为对msSQL进行弱口令攻击传播，入侵成功后释放挖矿木马，获利达数百万之多。相关分析详见2017年发布的报告：《悄然崛起的挖矿机僵尸网络：打服务器挖价值百万门罗币》。
近日，360互联网安全中心又发现了一批使用msSQL进行传播的挖矿木马的新型变种。此次木马攻击主要利用“白利用”这一通常出现在远控或盗号木马上的隐藏手段，说明此类木马已经具有了与安全软件对抗的意识。并且利用自身在扩散形式上的优势快速传播，出现仅6天，单日攻击次数就突破了10万次。另外，该木马早期曾出现过一个仅攻击一次就自我退出的版本，但该版本在大量传播之后便消失，我们怀疑这是一个作者早期用于验证程序功能的测试版。

图1
样本分析

图2
DLL模块被命名为active_desktop_render.dll，其导出表如下

图3
执行逻辑
exe启动后会加载active_desktop_render模块，调用其导出函数SetDesktopMonitorHook，实际样本中直接调用了king1函数。king1函数首先判断当前模块名称，不同的文件名称则执行的流程也会不同，例如当
前名称为assist.exe时，则下载l.txt并内存加载执行，其他如下图所示：

图4
之后根据系统版本调整当前工作目录（用于后续文件落地时使用），其中不高于xp版本的位于根目录下/Docume~1/AllUse~1/Applic~1/，否则为/Users/Public/，同时间隔10分钟尝试下载a-n.txt名称的文件，其中大部分文件以插件形式内存加载执行。

图5
插件模块及域名生成算法
通过上文可以知道，该dll的行为实则类似于插件管理器，其大多数情况下通过远程下载模块并自行加载，下图是样本模块加载流程示意图。

图6
插件模块的加载
down_memLoader函数通过死循环等待文件下载成功，

图7

图8
域名生成算法(DGA)
样本下拉插件模块的服务器域名并不固定，而是通过前缀后缀方式拼接而成，其中前缀生成算法如下

图9
后缀从如下列表中获取

图10
通过简化之后其域名生成算法如下：

知道域名后，再拼接插件名称得到下载地址，但访问时服务器会检测当前请求的UA部分，样本内嵌的UA名称为onlyme。
d与l模块
d模块延迟十分钟后结束如下进程，其中 manager.exe和diagnosis.exe分别为m和n模块(未获取到),a.exe是提权用到的程序。

图11
l模块负责结束上述进程并重新启动help.exe，间隔时间为10小时。
p模块
p模块在启动后，首先判断当前进程是否拥有管理员权限，若有则创建(已有则打开)名称为helpsys的服务，其二进制文件路径指向自身help.exe程序，如果权限不够，则远程拉取远端tqdll.txt和tq.txt文件，通过名称可以猜测其主要功能为提权，若成功，则在下次运行时即可创建服务，保证自身持久化驻留服务器。

图12
b模块
b模块是x64环境下使用到的，其部署64位环境下exe(repair.txt)和dll模块(64zhu.txt)，所有exe和dll功能与本文分析基本一致，只不过在x64下运行。同时下拉config.json与x.png，x.png 为xmr矿机(被64zhu.txt内存加载运行)，矿机配置文件config内容如下