甲骨文服务器漏洞CVE-2017-10271被用于散布双重门罗币矿工

　　CVE-2017-10271是Oracle WebLogic Server 12.2.1.2.0及更高版本中WebLogic Server安全服务（WLS安全性）中存在的输入验证漏洞，允许攻击者利用该漏洞远程执行任意代码。

　　该漏洞的概念验证代码（POC）于2017年12月份由中国安全研究人员公布，趋势科技的安全团队近日发现，它已经被滥用来提供两种不同的加密货币矿工：门罗币（Monero）矿工XMRig的64位和32位变体。Windows操作系统的体系结构（32位或64位）决定了哪一个矿工执行，如果其中一个版本与受感染的Windows计算机系统不兼容，则另一个版本将运行。

　　趋势科技检测到的恶意软件被称为“Coinminer_MALXMR.JL-PS”，一旦执行，它将下载三个文件到受感染设备中：挖掘组件javaupd.exe（检测为Coinminer_TOOLXMR.JL-WIN64）、自启动组件startup.cmd（检测为Coinminer_MALXMR.JL-BAT）以及另一个挖掘组件3.exe（检测为Coinminer_MALXMR.JLT-WIN32）。

　　整个过程从安装自启动组件开始，恶意软件通过将startup.cmd复制到受感染设备的Startup文件夹来完成此操作。cmd文件在系统启动时打开，然后执行Powershell命令。

　　同时，两个不同的计划任务将被创建：一个用于下载矿工；另一个用于终止挖掘。创建这些计划任务后，Coinminer_MALXMR.JL-PS将执行第一个有效载荷，即挖掘组件javaupd.exe，从而允许挖掘过程启动。

　　第二个有效载荷，即下载的3.exe文件，将检查系统是否正运行在32位平台上。如果是，它将下载并执行一个新文件LogonUI.exe（检测为COINMINER_MALXMR.JL-WIN32）。LogonUI将注册为一个名为“ Microsoft Telemetry”的服务，并创建一个每日执行的计划任务。同时，最终的挖掘组件sqlservr.exe（检测为COINMINER_TOOLXMR. JL-WIN32）将按照此计划任务执行。

　　趋势科技的研究人员表示，该恶意软件会占用系统的中央处理器（CPU）以及图形处理器（GPU）资源来挖掘门罗币，进而使系统运行异常缓慢以及性能下降。