查看: 2509|回复: 16
收起左侧

[病毒样本] 挖矿x3

[复制链接]
hsks
发表于 2020-11-20 20:51:26 | 显示全部楼层 |阅读模式
搬运自微步X情报社区
有几个一家没报毒的,因为不想肝积分,就不下了链接:https://pan.baidu.com/s/15yIIfjKH2zM79CQFYj7jCg
提取码:9h4x
链接:https://pan.baidu.com/s/1WxstM-GlV7-dDwY5r8arsw
提取码:9tcy




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
anthonyqian
发表于 2020-11-20 20:55:50 | 显示全部楼层
BD

03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe is infected with Trojan.GenericKD.44042043

d501169dac3647e734d6a49ea07d84113ac5f5a18c4fb54a9f3b99978754afb6.exe is infected with Gen:Variant.Graftor.747926

be526ca72f207a53be1a03e07bdb390dda843330f7fe0aed3b154c3a84617a52.exe is infected with Gen:Heur.Mint.Zard.25
秋日之殇
发表于 2020-11-20 21:10:24 | 显示全部楼层
卡巴斯基

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
henry217
发表于 2020-11-20 21:24:26 | 显示全部楼层
诺顿依旧的解压秒杀处理了好久
文件名: 03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe
威胁名称: Heur.AdvML.C完整路径: C:\Users\Henry_Yao\Desktop\03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe

____________________________

____________________________


在电脑上 
2020/11/20 ( 21:21:23 )

上次使用时间 
2020/11/20 ( 21:23:24 )

启动项 


已启动 


威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe 威胁名称: Heur.AdvML.C
定位


少量用户信任的文件
Norton 社区中有不到 100 名用户 使用了此文件。

发布已久的文件
该文件已在 1 个月 前发行。


此文件具有高风险。


____________________________


https://bbs.kafan.cn/forum.php?m ... TU1NTF8MjE5NTE2Ng==
已下载文件 从 bbs.kafan.cn
来源: 外部介质

03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe

____________________________

文件操作

文件: C:\Users\Henry_Yao\Desktop\ 03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe 已删除
____________________________


文件指纹 - SHA:
03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f
文件指纹 - MD5:
67e2d5181bcd2484a550256575273d3f
a233
发表于 2020-11-20 21:28:45 | 显示全部楼层
Dr.Web

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
秋日之殇
发表于 2020-11-20 21:32:37 | 显示全部楼层
henry217 发表于 2020-11-20 21:24
诺顿依旧的解压秒杀处理了好久
文件名: 03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e7692 ...

另外两个呢
hsks
 楼主| 发表于 2020-11-20 21:33:41 | 显示全部楼层

或许没下百度网盘的两个
心醉咖啡
发表于 2020-11-20 21:47:42 | 显示全部楼层
火绒
  1. 病毒库时间:2020-11-20 16:48
  2. 开始时间:2020-11-20 21:47
  3. 总计用时:00:00:01
  4. 扫描对象:1
  5. 扫描文件:1
  6. 发现风险:1
  7. 已处理风险:1
  8. 病毒详情:
  9. 风险路径:E:\浏览器下载\03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f\03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe, 病毒名:TrojanDownloader/Agent.vh, 病毒ID:7ffa29c1d30e3f47, 处理结果:已处理,删除文件
复制代码
swizzer
发表于 2020-11-20 22:10:41 | 显示全部楼层
03e开头的是个下载者,不过这个家族的主体行为还是老一套,照旧的执行notepad挖矿···挖矿程序被智量内存杀···

相关配置也还是一个base64加密的名为cfg的文件,存放于ProgramData的一个随机文件夹下,解密后如下:
  1. {
  2.         "api": {
  3.                 "id": null,
  4.                 "worker-id": null
  5.         },
  6.         "http": {
  7.                 "enabled": false
  8.         },
  9.         "autosave": false,
  10.         "version": 1,
  11.         "background": false,
  12.         "colors": true,
  13.         "randomx": {
  14.                 "init": 1,
  15.                 "numa": true
  16.         },
  17.         "cpu": {
  18.                 "enabled": true,
  19.                 "huge-pages": true,
  20.                 "hw-aes": null,
  21.                 "priority": null,
  22.                 "memory-pool": false,
  23.                 "asm": true,
  24.                 "argon2-impl": null,
  25.                 "cpu-profile": {
  26.                         "threads": 2
  27.                 },
  28.                 "cn-heavy/0": "cpu-profile",
  29.                 "cn-heavy/xhv": "cpu-profile",
  30.                 "cn-heavy/tube": "cpu-profile",
  31.                 "cn-lite/0": "cpu-profile",
  32.                 "cn-lite/1": "cpu-profile",
  33.                 "cn": "cpu-profile",
  34.                 "cn/r": "cpu-profile",
  35.                 "cn/fast": "cpu-profile",
  36.                 "cn-gpu": "cpu-profile",
  37.                 "cn/half": "cpu-profile",
  38.                 "cn/2": "cpu-profile",
  39.                 "argon2/chukwa": "cpu-profile",
  40.                 "argon2/wrkz": "cpu-profile",
  41.                 "rx": "cpu-profile",
  42.                 "rx/0": "cpu-profile",
  43.                 "rx/loki": "cpu-profile",
  44.                 "rx/wow": "cpu-profile",
  45.                 "rx/arq": "cpu-profile"
  46.         },
  47.         "donate-level": 0,
  48.         "donate-over-proxy": 0,
  49.         "log-file": null,
  50.         "pools": [
  51.                 {
  52.                         "algo": null,
  53.                         "coin": "monero",
  54.                         "url": "xmr.f2pool.com:13531",
  55.                         "user": "49RvDCimd2U7DHfaQbqXW6PRvqxdsxLhXJp5LBi7DAZF6zKQSZWpHX9TkmQrRGXmiuBT4MzKcU96KVaZZVUKVNWiBNSVUBC",
  56.                         "pass": "x",
  57.                         "rig-id": null,
  58.                         "nicehash": false,
  59.                         "keepalive": true,
  60.                         "enabled": true,
  61.                         "tls": false,
  62.                         "tls-fingerprint": null,
  63.                         "daemon": false,
  64.                         "self-select": null
  65.                 }
  66.         ],
  67.         "print-time": 60,
  68.         "health-print-time": 60,
  69.         "retries": 5,
  70.         "retry-pause": 5,
  71.         "syslog": false,
  72.         "user-agent": null,
  73.         "watch": false
  74. }
复制代码



剩下两个都是刚刚出sleep就被智量内存防护或主防杀掉(头一次见到主防报MalBehavior.A0但样本却未执行cmd.exe)




hsks
 楼主| 发表于 2020-11-20 22:22:54 | 显示全部楼层
swizzer 发表于 2020-11-20 22:10
03e开头的是个下载者,不过这个家族的主体行为还是老一套,照旧的执行notepad挖矿···挖矿程序被智量内存 ...

大佬NB
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 21:05 , Processed in 0.171138 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表