首页
论坛
课程
招聘

[调试逆向] [病毒木马] [原创]记一个门罗币的挖矿病毒

2018-12-18 00:16 3100

[调试逆向] [病毒木马] [原创]记一个门罗币的挖矿病毒

2018-12-18 00:16
3100

1、 run.cmd, 创建计划任务,执行一个vbs脚本


2、dglip.vbs 同样,先执行另外一个vbs脚本dnwdq.vbs,下载了配置文件之后,再执行

Kdps1.vbsl


3、dnwdq.vbs 从一个配置文件中读取信息,然后下载一个配置文件wpstl.conf


05485.txt即为wpstl.conf


然后kdpsl.vbs会根据这个地址下载一个程序,这个程序还是一个vbs脚本,然后执行


下载了w.vbs


首先会创建 %AppDateFolder%/jeccn/jcecn.exe, 配置好挖矿程序的下载链接,下载挖矿程序然后,连接矿池,挖矿




该程序为一个XMR(门罗币)的挖矿程序


在之前的脚本中,启动参数中有该用户的用户名和密码


可以在官方的网站看到,矿池的信息https://monero.miningpoolhub.com/


我们看到有关联的shortcuter.exe


1、设置异常处理,检测CPU核心数量




动态调试获取CPU信息



Wireshark抓到的数据包


写入挖矿程序下载脚本


该网站的指令内容没有放出



创建计划任务


执行脚本(vbs脚本类的,打开就执行了)




[推荐]看雪企服平台,提供项目众包、渗透测试、安全分析、定制项目开发、APP等级保护等安全服务!

最新回复 (2)
Editor 2018-12-18 11:01
2
0
有样本吗?
binlmmhc 2018-12-18 12:37
3
0
C2服务器还活着的,直接去下就行了或者去virustotal用hash查一下就可以找到了
游客
登录 | 注册 方可回帖
返回