前言 在队里看见一个IOC信息http://192.210.200.66:1234/xmss，溯源后发现是8220挖矿团伙的挖矿脚本，于是拿下来进行分析。 溯源 IP信息 参数 值 IP ...

木马简介 背景 碰到一个挖矿木马，谷歌搜索没有找到相关的资料，暂时命名为无名矿马，挖矿程序是开源的XMRig（编译好后名字为update）。整个控制端依靠一个随机名python文件。 rc.local中有/etc/update 样本相关文件 一个随机名字的python文件和一个 ...

（1）详细说明 近日我捕获到一个利用Apache2.4.49漏洞(CVE-2021-41773)传播xmrig-6.14.1-linux-static-x64挖矿脚本的最新样本。样本文件名为aaa，file命令判断为ASCII脚本。如下图所示： 直接cat该文 ...

可以按照分析的清理就行，不是很难，已经全部分析完了，包括本地文件和云端的部分样本。病毒不是很难，这病毒最牛逼的地方在于，自动化扫描攻击。通过cmd开启65531 32 33端口，来标记该机器是否已经被感染。 分析该样本需要先看一下powershell反混淆。地址是http://rvasec.com ...

文件检测 信息 值 文件名 1.virus 文件类型 WIN 32 EXE ...

基本信息 对象 值 文件名 Photo.scr 文件类型 PE32 executable ...

最近接手的一个样本，样本中使用了大量的xor加密，由于本身样本不全，无法运行（好吧我最稀饭的动态调试没了，样本很有意思，以后有时间做票大的分析），这个时候就只好拜托idapython大法了（当然用idc也一样），期间遇到几个问题，遂记录一番。 样本加密的字符如下，很简单，push压栈之后，反复 ...

闲来无事在吾爱破解论坛上瞎逛，碰见一个师傅的样本分析的帖子，师傅很热心的把样本分析出来，小白表示这个样本的难度和平常接触的不是一个档次的（菜哭），于是我想根据那位师傅的分析步骤结合自己的想法来分析一次这个样本，提升能力。 https://www.52pojie.cn ...