最近比较活跃的Mozi挖矿scr

显示全部楼层 · 发表于 2023-8-19 20:09:34

本帖最后由 sanhu35 于 2023-8-19 20:56 编辑

样本：https://pan.baidu.com/s/1dI4DcHiIqx0YcQsXebmP_g#4u4i
提取码4u4i

user目录创建病毒体

fsutil命令将文件范围（由 offset 和 length 指定）设置为零，从而使文件为空。然后利用cmd 修改RegSvcs.exe 文件为想要的内容

进程路径: C:\Windows\SysWOW64\cmd.exe
进程命令行: cmd.exe /c timeout /nobreak /t 3 & fsutil file setZeroData offset=0 length=45983 "C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe" & erase "C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe" & exit
事件类型: 201
拦截时间: 2023-08-19 20:06:37
拦截规则: [防漏]写入高危文件(修改)
进程名称: cmd.exe
行为: 操作文件
响应动作: 弹框（默认拦截）
操作目标: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe

注册服务持久化

随机获取3000个非局域网IP地址

显示全部楼层 · 发表于 2023-8-19 20:11:55

360

显示全部楼层 · 发表于 2023-8-19 20:14:57

卡巴 UDS:DangerousObject.Multi.Generic

显示全部楼层 · 发表于 2023-8-19 20:38:38

蜘蛛

诺顿

显示全部楼层 · 发表于 2023-8-19 20:42:51

不加密是坏文明。

BEST
AI:Coinminer.45841.7032C84E17

显示全部楼层 · 发表于 2023-8-19 20:57:10

WD:Trojan:Win32/Ymacco.AA67

显示全部楼层 · 发表于 2023-8-19 21:03:20

Bitdefender个人版
Trojan.Generic.33560906

显示全部楼层 · 发表于 2023-8-19 21:26:03

显示全部楼层 · 发表于 2023-8-19 21:48:13

SOPHOS 這是什麽高級報法

在 C:\Users\Leung\Desktop\AV.scr 检测到 Coinminer Config

复制代码

显示全部楼层 · 发表于 2023-8-19 23:01:32

卡巴：
今天，2023/8/19 22:59:16;E:\virus\AV.scr\back.jpg;back.jpg;E:\virus\AV.scr//;文件;检测到;检测到恶意对象;检测到;UDS:DangerousObject.Multi.Generic;;高;确切;Windows Explorer;explorer.exe;C:\Windows\explorer.exe;C:\Windows;6404;GP76\Xzz123;发起者;云保护
今天，2023/8/19 22:59:27;E:\virus\AV.scr\xmrig.exe;xmrig.exe;E:\virus\AV.scr//;文件;检测到;我们发现可能会被入侵者利用以破坏您的计算机或个人数据的应用程序。;检测到;not-a-virus:UDS:RiskTool.Win32.BitMiner.gen;可能会被入侵者利用以破坏您的计算机或个人数据的合法软件;低;确切;Windows Explorer;explorer.exe;C:\Windows\explorer.exe;C:\Windows;6404;GP76\Xzz123;发起者;云保护

[病毒样本] 最近比较活跃的Mozi挖矿scr

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源