国家计算机病毒应急处理中心通过对互联网的监测,发现一款伪装成Windows系统帮助文件的远控木马,攻击者通过远控木马下发挖矿程序到被害主机,占用主机资源进行挖矿。服务DLL文件Remote.hlp是一个伪装成Windows帮助文件的后门程序,仅从字符串分析,就能够得到许多功能信息,而此次事件捕获的域名所关联的后门程序中,均存在一条“TheCodeMadeByZPCCZQ”标识字符串。由此可以推断,这些后门程序均来源于同一款远控生成器,并且通过对后门dll的字符串分析,其中有很多中文描述的控制操作,所以可以确认是一款汉化的远控程序。除了持久化驻留的后门程序,在被害主机中存在通过后门投放的挖矿程序,伪装成银行图标,占用主机资源进行挖矿。该样本中服务名称为.Net CLR,研究员排查过程中发现有过“Ias”、“FastUserSwitchingCompatibilty”,这些服务指向的DLL程序都是母体释放的Remote.hlp。 建议用户不要安装未知来源的软件,在正规网站下载软件。同时提高安全意识,及时为操作系统、常用软件等打好补丁,以免受到该恶意程序的危害。