首页
论坛
专栏
课程

[调试逆向] [病毒木马] [原创]记一个门罗币的挖矿病毒

2018-12-18 00:16 2018

[调试逆向] [病毒木马] [原创]记一个门罗币的挖矿病毒

2018-12-18 00:16
2018

1、 run.cmd, 创建计划任务,执行一个vbs脚本


2、dglip.vbs 同样,先执行另外一个vbs脚本dnwdq.vbs,下载了配置文件之后,再执行

Kdps1.vbsl


3、dnwdq.vbs 从一个配置文件中读取信息,然后下载一个配置文件wpstl.conf


05485.txt即为wpstl.conf


然后kdpsl.vbs会根据这个地址下载一个程序,这个程序还是一个vbs脚本,然后执行


下载了w.vbs


首先会创建 %AppDateFolder%/jeccn/jcecn.exe, 配置好挖矿程序的下载链接,下载挖矿程序然后,连接矿池,挖矿




该程序为一个XMR(门罗币)的挖矿程序


在之前的脚本中,启动参数中有该用户的用户名和密码


可以在官方的网站看到,矿池的信息https://monero.miningpoolhub.com/


我们看到有关联的shortcuter.exe


1、设置异常处理,检测CPU核心数量




动态调试获取CPU信息



Wireshark抓到的数据包


写入挖矿程序下载脚本


该网站的指令内容没有放出



创建计划任务


执行脚本(vbs脚本类的,打开就执行了)




[公告][征集寄语] 看雪20周年年会 | 感恩有你,一路同行

最新回复 (2)
Editor 2018-12-18 11:01
2
0
有样本吗?
binlmmhc 2018-12-18 12:37
3
0
C2服务器还活着的,直接去下就行了或者去virustotal用hash查一下就可以找到了
游客
登录 | 注册 方可回帖
返回