前言 在隊里看見一個IOC信息http://192.210.200.66:1234/xmss，溯源后發現是8220挖礦團伙的挖礦腳本，於是拿下來進行分析。 溯源 IP信息 參數 值 IP ...

木馬簡介 背景 碰到一個挖礦木馬，谷歌搜索沒有找到相關的資料，暫時命名為無名礦馬，挖礦程序是開源的XMRig（編譯好后名字為update）。整個控制端依靠一個隨機名python文件。 rc.local中有/etc/update 樣本相關文件 一個隨機名字的python文件和一個 ...

（1）詳細說明 近日我捕獲到一個利用Apache2.4.49漏洞(CVE-2021-41773)傳播xmrig-6.14.1-linux-static-x64挖礦腳本的最新樣本。樣本文件名為aaa，file命令判斷為ASCII腳本。如下圖所示： 直接cat該文 ...

可以按照分析的清理就行，不是很難，已經全部分析完了，包括本地文件和雲端的部分樣本。病毒不是很難，這病毒最牛逼的地方在於，自動化掃描攻擊。通過cmd開啟65531 32 33端口，來標記該機器是否已經被感染。 分析該樣本需要先看一下powershell反混淆。地址是http://rvasec.com ...

文件檢測 信息 值 文件名 1.virus 文件類型 WIN 32 EXE ...

基本信息 對象 值 文件名 Photo.scr 文件類型 PE32 executable ...

最近接手的一個樣本，樣本中使用了大量的xor加密，由於本身樣本不全，無法運行（好吧我最稀飯的動態調試沒了，樣本很有意思，以后有時間做票大的分析），這個時候就只好拜托idapython大法了（當然用idc也一樣），期間遇到幾個問題，遂記錄一番。 樣本加密的字符如下，很簡單，push壓棧之后，反復 ...

閑來無事在吾愛破解論壇上瞎逛，碰見一個師傅的樣本分析的帖子，師傅很熱心的把樣本分析出來，小白表示這個樣本的難度和平常接觸的不是一個檔次的（菜哭），於是我想根據那位師傅的分析步驟結合自己的想法來分析一次這個樣本，提升能力。 https://www.52pojie.cn ...