病毒预报  第七百五十五期

国家计算机病毒应急处理中心通过对互联网的监测发现了一款名为PowerGhost的恶意挖矿软件。该恶意软件在感染了目标主机之后不仅可以在后台挖矿，还能够感染企业大型网络内的其他主机，包括工作站和服务器等。该恶意软件已经在印度，巴西，哥伦比亚和土耳其等多国的企业网络上传播。此恶意程序感染计算机后，会盗用计算机的资源挖掘未公开的加密货币。

PowerGhost恶意软件其实是一个经过了混淆处理的PowerShell脚本，其中包含的核心组件有：挖矿主程序、mimikatz调试器、一个用于实现反射PE注入的模块、用于利用EternalBlue漏洞的ShellCode以及相关的依赖库链接文件。

这款恶意软件使用了各种无文件技术来隐藏自己的活动踪迹，并利用漏洞和远程管理工具来远程感染目标设备。在实现感染的过程中，恶意软件会运行一个PowerShell脚本，下载了挖矿主程序之后，脚本会立即启动恶意软件，而不是直接将其存入主机的硬盘中。

PowerGhost的主要攻击目标是企业用户,针对该恶意软件所造成的危害，建议企业用户加强内部局域网的安全防护，根据自身需求，合理配置企业级安全防护软件，制定安全防护措施。另外，对于未知或不安全的网站，个人用户不要随意访问，同时安装个人安全防护软件并将病毒库更新至最新版本。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心