近日，监测到一款名为ZombieBoy的木马悄然感染了国内外多个行业的用户主机。该木马包含内网扫描、“永恒之蓝”漏洞利用、“双脉冲星”后门、挖矿工具等多个恶意模块，是一款集传播、远控、挖矿功能为一体的混合型木马。其结构类似于“MassMine”，由于释放第一个恶意DLL文件时使用了一个名为ZombieBoy的工具，因此被命名为ZombieBoy挖矿木马。

       ZombieBoy木马最早出现于2017年底，2018年下旬，安全媒体报道被该木马控制的主机多达七万台。日前，该木马在各个行业中迅速扩散。其中，安全防护较为薄弱的企业成为感染的重灾区，教育行业、政企单位等均受到不同程度的感染：

感染现象

1.受感染的主机上出现了未知IP策略的明显现象，该策略会将除了22.148.18.88之外连接445的IP全部阻止。

4.windows目录下创建一个5位随机字母的文件夹，并存在boy.exe木马文件。

5.存在恶意挖矿进程。

6.WinEggDrop开源扫描器进程。

7.永恒之蓝漏洞利用工具进程Cstrl.exe。

8.双星脉冲后门植入工具进程chrome.exe。