Crackonosh病毒从22.2万台被入侵的电脑中提取了价值200万美元的Monero病毒

至少自2018年6月以来，一个之前没有记录的Windows恶意软件已经感染了全球超过22.2万个系统，给其开发者带来了不少于9000个Moneros(200万美元)的非法利润。

这种恶意软件被称为“Crackonosh”，它通过非法的、破解了的流行软件拷贝传播，只会使安装在机器上的反病毒程序失效，并安装一个名为XMRig的硬币矿工包，用来偷偷地利用受感染主机的资源来挖掘Monero。

捷克网络安全软件公司Avast周四表示，在2018年1月1日至2020年11月23日期间，已发现至少30个不同版本的恶意软件，其中大部分受害者位于美国、巴西、印度、波兰和菲律宾。

Crackonosh通过替换重要的Windows系统文件来工作，例如“serviceinstaller. exe”。msi”和“维护。通过删除Windows卫士(以及其他已安装的解决方案)，并关闭自动更新功能来掩盖其踪迹，并滥用安全模式(该模式会阻止杀毒软件工作)。

作为反检测和反取证策略的一部分，该恶意软件还会安装自己版本的“MSASCuiL.exe”(即Windows Defender)，它会在系统托盘上放置带有绿色标记的Windows安全图标，并运行测试以确定它是否在虚拟机中运行。

去年12月，安全研究员Roberto Franceschetti透露，反病毒应用程序可以通过启动到安全模式并在其相应服务在Windows中启动之前重新命名其应用程序目录来禁用。

然而，微软表示，该问题“不符合安全服务的标准”，并指出攻击是基于拥有管理员/根权限，并添加了“恶意管理员可以做更糟糕的事情”。

与此同时，“脏萌”(DirtyMoe)和“紫狐”(Purple Fox)恶意软件背后的疑似被发现已经入侵了约10万台Windows电脑，这是一场可以追溯到2017年的不断演变的加密劫持活动的一部分。

“Crackonosh显示了下载破解软件的风险，”Avast安全研究员Daniel Beneš说。“只要人们继续下载破解软件，像这样的攻击就会继续，并继续为攻击者带来利润。关键是，你真的不可能不劳而获，当你试图偷软件时，很可能有人试图从你这里偷东西。”