挖矿x3

hsks

搬运自微步X情报社区
有几个一家没报毒的，因为不想肝积分，就不下了链接：https://pan.baidu.com/s/15yIIfjKH2zM79CQFYj7jCg
提取码：9h4x
链接：https://pan.baidu.com/s/1WxstM-GlV7-dDwY5r8arsw
提取码：9tcy

anthonyqian

BD

03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe is infected with Trojan.GenericKD.44042043

d501169dac3647e734d6a49ea07d84113ac5f5a18c4fb54a9f3b99978754afb6.exe is infected with Gen:Variant.Graftor.747926

be526ca72f207a53be1a03e07bdb390dda843330f7fe0aed3b154c3a84617a52.exe is infected with Gen:Heur.Mint.Zard.25

秋日之殇

卡巴斯基

henry217

诺顿依旧的解压秒杀处理了好久
文件名: 03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe
威胁名称: Heur.AdvML.C完整路径: C:\Users\Henry_Yao\Desktop\03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe

____________________________

____________________________


在电脑上 
2020/11/20 ( 21:21:23 )

上次使用时间 
2020/11/20 ( 21:23:24 )

启动项 
否

已启动 
否

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe 威胁名称: Heur.AdvML.C
定位


少量用户信任的文件
Norton 社区中有不到 100 名用户 使用了此文件。

发布已久的文件
该文件已在 1 个月 前发行。

高
此文件具有高风险。


____________________________


https://bbs.kafan.cn/forum.php?m ... TU1NTF8MjE5NTE2Ng==
已下载文件 从 bbs.kafan.cn
来源: 外部介质

03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe

____________________________

文件操作

文件: C:\Users\Henry_Yao\Desktop\ 03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe 已删除
____________________________


文件指纹 - SHA:
03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f
文件指纹 - MD5:
67e2d5181bcd2484a550256575273d3f

a233

Dr.Web

秋日之殇

henry217 发表于 2020-11-20 21:24
诺顿依旧的解压秒杀处理了好久
文件名: 03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e7692 ...

另外两个呢

hsks

秋日之殇 发表于 2020-11-20 21:32
另外两个呢

或许没下百度网盘的两个

心醉咖啡

火绒

1. 病毒库时间：2020-11-20 16:48
   
2. 开始时间：2020-11-20 21:47
   
3. 总计用时：00:00:01
   
4. 扫描对象：1
   
5. 扫描文件：1
   
6. 发现风险：1
   
7. 已处理风险：1
   
8. 病毒详情：
   
9. 风险路径：E:\浏览器下载\03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f\03e4036a3d2fee76f545ae484245c1fc6de6e1106a68eaca21e769269ba50d8f.exe, 病毒名：TrojanDownloader/Agent.vh, 病毒ID：7ffa29c1d30e3f47, 处理结果：已处理，删除文件
   

复制代码

swizzer

03e开头的是个下载者，不过这个家族的主体行为还是老一套，照旧的执行notepad挖矿···挖矿程序被智量内存杀···

相关配置也还是一个base64加密的名为cfg的文件，存放于ProgramData的一个随机文件夹下，解密后如下：

1. {
   
2.         "api": {
   
3.                 "id": null,
   
4.                 "worker-id": null
   
5.         },
   
6.         "http": {
   
7.                 "enabled": false
   
8.         },
   
9.         "autosave": false,
   
10.         "version": 1,
    
11.         "background": false,
    
12.         "colors": true,
    
13.         "randomx": {
    
14.                 "init": 1,
    
15.                 "numa": true
    
16.         },
    
17.         "cpu": {
    
18.                 "enabled": true,
    
19.                 "huge-pages": true,
    
20.                 "hw-aes": null,
    
21.                 "priority": null,
    
22.                 "memory-pool": false,
    
23.                 "asm": true,
    
24.                 "argon2-impl": null,
    
25.                 "cpu-profile": {
    
26.                         "threads": 2
    
27.                 },
    
28.                 "cn-heavy/0": "cpu-profile",
    
29.                 "cn-heavy/xhv": "cpu-profile",
    
30.                 "cn-heavy/tube": "cpu-profile",
    
31.                 "cn-lite/0": "cpu-profile",
    
32.                 "cn-lite/1": "cpu-profile",
    
33.                 "cn": "cpu-profile",
    
34.                 "cn/r": "cpu-profile",
    
35.                 "cn/fast": "cpu-profile",
    
36.                 "cn-gpu": "cpu-profile",
    
37.                 "cn/half": "cpu-profile",
    
38.                 "cn/2": "cpu-profile",
    
39.                 "argon2/chukwa": "cpu-profile",
    
40.                 "argon2/wrkz": "cpu-profile",
    
41.                 "rx": "cpu-profile",
    
42.                 "rx/0": "cpu-profile",
    
43.                 "rx/loki": "cpu-profile",
    
44.                 "rx/wow": "cpu-profile",
    
45.                 "rx/arq": "cpu-profile"
    
46.         },
    
47.         "donate-level": 0,
    
48.         "donate-over-proxy": 0,
    
49.         "log-file": null,
    
50.         "pools": [
    
51.                 {
    
52.                         "algo": null,
    
53.                         "coin": "monero",
    
54.                         "url": "xmr.f2pool.com:13531",
    
55.                         "user": "49RvDCimd2U7DHfaQbqXW6PRvqxdsxLhXJp5LBi7DAZF6zKQSZWpHX9TkmQrRGXmiuBT4MzKcU96KVaZZVUKVNWiBNSVUBC",
    
56.                         "pass": "x",
    
57.                         "rig-id": null,
    
58.                         "nicehash": false,
    
59.                         "keepalive": true,
    
60.                         "enabled": true,
    
61.                         "tls": false,
    
62.                         "tls-fingerprint": null,
    
63.                         "daemon": false,
    
64.                         "self-select": null
    
65.                 }
    
66.         ],
    
67.         "print-time": 60,
    
68.         "health-print-time": 60,
    
69.         "retries": 5,
    
70.         "retry-pause": 5,
    
71.         "syslog": false,
    
72.         "user-agent": null,
    
73.         "watch": false
    
74. }

复制代码

剩下两个都是刚刚出sleep就被智量内存防护或主防杀掉（头一次见到主防报MalBehavior.A0但样本却未执行cmd.exe）

hsks

swizzer 发表于 2020-11-20 22:10
03e开头的是个下载者，不过这个家族的主体行为还是老一套，照旧的执行notepad挖矿···挖矿程序被智量内存 ...

大佬NB