BitCoinMiner

显示全部楼层 · 发表于 2018-2-26 17:09:12

过wd，360卫士杀

显示全部楼层 · 发表于 2018-2-26 18:28:20

显示全部楼层 · 发表于 2018-2-26 18:40:26

本帖最后由毛可多来于 2018-2-26 18:44 编辑

文件检测评级：未发现风险
基本信息

文件名称：	miner.exe
MD5：	0609838e030974f5be5049f65795178c
文件类型：	EXE
上传时间：	2018-02-26 18:44:04
出品公司：	N/A
版本：	N/A
壳或编译器信息：	COMPILER:PE+(64)

关键行为

行为描述：	设置特殊文件属性
详情信息：	C:\Users\Administrator\AppData\Local\%temp%\****.exe

进程行为

行为描述：	隐藏窗口创建进程
详情信息：	ImagePath = C:\Windows\System32\schtasks.exe, CmdLine = "C:\Windows\System32\schtasks.exe" /Create /SC MINUTE /MO 1 /TN WinhostUpdateTask /TR C:\ProgramData\winhost.exe
行为描述：	创建进程
详情信息：	[0x00000c48]ImagePath = C:\Windows\System32\schtasks.exe, CmdLine = "C:\Windows\System32\schtasks.exe" /Create /SC MINUTE /MO 1 /TN WinhostUpdateTask /TR C:\ProgramData\winhost.exe [0x00000ecc]ImagePath = C:\Windows\System32\taskhostw.exe, CmdLine = taskhostw.exe timer
行为描述：	创建本地线程
详情信息：	ProcessId = 3264, ThreadId = 3688. ProcessId = 3264, ThreadId = 3260. ProcessId = 3264, ThreadId = 2956. ProcessId = 3788, ThreadId = 1332. ProcessId = 3788, ThreadId = 3068. ProcessId = 2992, ThreadId = 2092. ProcessId = 2992, ThreadId = 3120.

文件行为

行为描述：	创建文件
详情信息：	C:\ProgramData\winhost.exe
行为描述：	创建可执行文件
详情信息：	C:\ProgramData\winhost.exe
行为描述：	查找文件
详情信息：	FileName = C:\Windows FileName = C:\Windows\System32 FileName = C:\Windows\System32\schtasks.exe
行为描述：	设置特殊文件属性
详情信息：	C:\Users\Administrator\AppData\Local\%temp%\****.exe
行为描述：	复制文件
详情信息：	C:\Users\Administrator\AppData\Local\%temp%\****.exe ---> C:\ProgramData\winhost.exe
行为描述：	修改文件内容
详情信息：	C:\ProgramData\winhost.exe ---> Offset = 0 C:\ProgramData\winhost.exe ---> Offset = 262144 C:\ProgramData\winhost.exe ---> Offset = 524288 C:\ProgramData\winhost.exe ---> Offset = 4096

网络行为

行为描述：	联网打开网址
详情信息：	InternetOpenUrlA: https://ip****om/1YKk57, hInternet = 0x00cc0004, Flags = 0x00000000
行为描述：	打开HTTP连接
详情信息：	InternetOpenA: UserAgent: Windows 10 system Full PATH, hSession = 0x00cc0004
行为描述：	按名称获取主机地址
详情信息：	GetAddrInfoW: ip****om

注册表行为

行为描述：	修改注册表
详情信息：	\REGISTRY\USER\S-1-5-21-1170589654-2814428265-349930785-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
行为描述：	删除注册表键值
详情信息：	\REGISTRY\USER\S-1-5-21-1170589654-2814428265-349930785-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer \REGISTRY\USER\S-1-5-21-1170589654-2814428265-349930785-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride \REGISTRY\USER\S-1-5-21-1170589654-2814428265-349930785-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL \REGISTRY\USER\S-1-5-21-1170589654-2814428265-349930785-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect

其他行为

行为描述：	检测自身是否被调试
详情信息：	IsDebuggerPresent
行为描述：	创建互斥体
详情信息：	%temp%\****.exe Global\SyncRootManager Local\ZonesCacheCounterMutex Local\ZonesLockedCacheCounterMutex Local\SessionImmersiveColorMutex
行为描述：	隐藏指定窗口
详情信息：	[Window,Class] = [C:\Windows\System32\schtasks.exe,ConsoleWindowClass] [Window,Class] = [C:\Windows\System32\%temp%\****.exe,ConsoleWindowClass]
行为描述：	查找指定窗口
详情信息：	FindWindowA: [Class,Window] = [,Windows Task Manager] FindWindowA: [Class,Window] = [,Task Manager] FindWindowA: [Class,Window] = [,AnVir Task Manager] FindWindowA: [Class,Window] = [,AnVir Task Manager Pro] FindWindowA: [Class,Window] = [,AIDA64 Extreme] FindWindowA: [Class,Window] = [,AIDA64 Extreme Edition] FindWindowA: [Class,Window] = [,AIDA64 Extreme [TRIAL VERSION]] FindWindowA: [Class,Window] = [,AIDA 64] FindWindowA: [Class,Window] = [,Process Explorer] FindWindowA: [Class,Window] = [,Process Monitor]
行为描述：	打开事件
详情信息：	MSFT.VSA.COM.DISABLE.3264 MSFT.VSA.IEC.STATUS.6c736db0 \KernelObjects\MaximumCommitCondition \SECURITY\LSA_AUTHENTICATION_INITIALIZED Global\TermSrvReadyEvent Global\SvcctrlStartEvent_A3752DX
行为描述：	可执行文件签名信息
详情信息：	C:\ProgramData\winhost.exe(签名验证: 未通过)
行为描述：	调用Sleep函数
详情信息：	[1]: MilliSeconds = 35000. [2]: MilliSeconds = 0.
行为描述：	可执行文件MD5
详情信息：	C:\ProgramData\winhost.exe ---> 0609838e030974f5be5049f65795178c
行为描述：	打开互斥体
详情信息：	Local\ShimViewer %temp%\****.exe Global\SyncRootManager

进程树

[url=]****.exe (PID: 0x00000cc0)[/url]
- [url=]schtasks.exe (PID: 0x00000c48)[/url]
  - [url=]taskhostw.exe (PID: 0x00000ecc)[/url]

[tr][/tr]

文件分析图谱(PortEx)

显示全部楼层 · 发表于 2018-2-26 19:47:18

管家miss

显示全部楼层 · 发表于 2018-2-26 20:50:50

NS解压杀

显示全部楼层 · 发表于 2018-2-26 22:02:38

金山毒霸 6 秒完成查杀。提示安全。

显示全部楼层 · 发表于 2018-2-27 14:40:24

Dolby123 发表于 2018-2-26 18:28

后来更新为：Trojan:Win32/CoinMiner!bit

[其他相关] BitCoinMiner

本帖子中包含更多资源