MyKings僵尸网络

MyKings僵尸网络（也称为Smominru和DarkCloud）是一个僵尸网络，已经运行了一段时间，并且倾向于以未修补的或基于Windows的修补服务器为目标。有问题的服务器倾向于托管各种服务-WMI，Telnet，RDP（远程桌面协议），MS-SQL，ssh，MySQL等。据报道，受影响最大的国家是中国（所有受害者中18％） ，台湾（11％），俄罗斯（7％），巴西（7％）和美国（6％）。显然，大约有44,000个唯一IP地址，这些地址对MyKings威胁的存在进行了测试。 MyKings僵尸网络的最终目标是在受感染的主机上安装加密矿工，并使用Forshare Trojan来确保所有植入的矿工均按预期运行。此活动中使用的加密矿工正在挖掘Monero加密货币。据估计，到目前为止，MyKings僵尸网络的运营商已经产生了惊人的9,000 XMR，大约为300万美元。

从受到威胁的主机中消除竞争威胁

MyKings僵尸网络能够识别受感染主机上是否还存在其他恶意软件。如果威胁检测到存在竞争性恶意软件，则将其删除以确保最大效率。此外，MyKings恶意软件能够扫描进程，以查找可能与反病毒工具链接的任何进程。如果检测到任何威胁，MyKings威胁将确保将其终止，以使其不间断运行。 MyKings组件能够自我更新，从而确保威胁仍然有效。这可以借助Windows批处理文件和RAR归档文件（它们能够自解压缩）来实现。

使用隐写术

MyKings僵尸网络的运营商选择使用一种相当创新的技术来隐藏其损坏的有效载荷-隐写术。攻击者在看似无害的泰勒·斯威夫特的照片中植入了威胁的不良可执行文件。他们使用修改后的.jpg文件隐藏恶意数据。但是，恶意软件专家能够发现它，因为它包含典型的MZ标头文本和字节。此技巧可帮助MyKings威胁应用其最新更新。 MyKings威胁将篡改Windows注册表以获取对受感染主机的持久性。引导程序包可确保在重新启动系统后运行MyKings恶意软件。

到目前为止，MyKings僵尸网络为其运营商带来了可观的现金收入，并且考虑到他们不断更新威胁，因此他们很可能不会在不久的将来停止这一行动。