锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
Kodi恶意插件可在Windows和Linux下安装挖矿木马

作者: 佚名  日期:2018-10-25 12:05:39   来源: 本站整理

 近期,研究人员在某些非官方的Kodi开源多媒体代码库中发现了自定义修改后的恶意插件,而这些恶意插件将会在Windows和Linux平台中下载恶意挖矿软件。

研究人员表示,他们发现了一个通过合法插件来感染运行了Kodi设备的恶意活动。在这个恶意活动中,网络犯罪分子主要针对的是Kodi用户,并通过感染恶意挖矿软件来挖门罗币。
该活动似乎是从2017年12月份开始的,当时主要通过托管在Bubbles代码库(现已失效)中的’script.module.simplejson’插件来实现感染。由于Bubbles库已经下线了,所以网络犯罪分子也把他们的恶意插件转移到了Gaia库来进行传播。
网络犯罪分子利用了Kodi验证系统的漏洞
ESET的安全研究人员在XvBMC库中发现了这个恶意活动,而这个托管库最近因为侵犯版权的原因而被迫关闭,不过其他的托管库中仍托管了修改后的恶意插件。
由于Kodi插件可以从多个代码托管库中获取,并且插件的更新验证也只需要版本号,因此很多受害者在更新Kodi插件时就会刷新并安装到恶意插件。
研究人员表示,正是因为很多代码托管库并没有对插件的更新机制进行有效的安全保护,这也是恶意插件能够在Kodi生态系统中蔓延的主要原因之一。
目前,受该活动影响最大的五个国家分别是美国、以色列、希腊、英国以及荷兰,而且这些国家同样也是全球使用Kodi插件最多的国家。

其中,’script.module.simplejson’为合法Kodi插件的名称,但是网络犯罪分子利用了Kodi更新机制中的漏洞,并利用更高版本编号来发布恶意Kodi插件。
当时,’script.module.simplejson’的版本号为3.4.0,而恶意代码库托管的恶意插件版本为3.4.1。由于恶意插件的版本号更高,Kodi用户将会自动更新并安装恶意插件。
感染分阶段进行
ESET的分析结果表明,网络犯罪分子修改了原始插件的元数据,并控制Kodi来下载一个名叫’script.module.python.requests’的插件(版本为2.16.0及以上)。
新下载的插件中包含的Python代码会运行加密货币挖矿软件,当恶意软件成功安装之后,负责下载恶意挖矿软件的Python代码将会被删除。

研究人员在报告中提到:“在对代码进行了分析之后,我们认为恶意代码的开发人员绝对是对Kodi及其插件结构非常了解的人。脚本代码会对目标操作系统进行检测,目前该恶意软件仅支持Windows和Linux,Android和macOS还不会受其影响。接下来,它会连接远程C&C服务器,并执行一个代码下载模块。”
因此,研究人员建议广大Kodi用户尽量从官方Kodi托管库中下载和更新插件。
 



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等