一个挖矿病毒浅析
第一次尝试写病毒分析,略显笨拙。请谅解!样本来源:
火绒提示挖矿软件,阿里云盾提示挖矿
https://www.52pojie.cn/thread-753278-1-1.html
(出处: 吾爱破解论坛)
该病毒伪装成 搜狗拼音输入法 扩展功能管理器 的应用程序(简称:A.exe)
当运行后内存加载一个dll
dll对矿池地址进行有效性检测
而后这个创建一个挂起的进程 WmiPrvSE.exe
并且加载一个驱动对A.exe的进程进行保护
添加了自启动,启动的程序为A.exe的当前完整路径
然后通过dll进行对创建的WmiPrvSE.exe进程内存进行重写。
写入的内存数据为挖矿主体程序,重置线程上下文。并恢复该进程开始挖矿!
这是我将挖矿主体dump出来后手动启动挖矿的图,有点酷!
挖的是门罗币。
然后dll就报错了自己了结了罪恶的一生{:301_985:}
这真是个目标单纯的病毒啊!
解决办法:删除掉A.exe,清除自启动就没了!
代码分析有些少呀,看过程应该是小学生用易语言打包的现成程序进行挖矿的,那个驱动应该也是别人的吧?
挖矿用的是开源挖矿xmr程序注入到wmiprvse.exe添加矿池参数启动:
-a cryptonight
-o stratum+tcp://37.187.154.79:443
-u 49UFtcDaDaMVC2f1SDkivEgUiAU4pB4B1XPqa96oxTXyF9fp7GvydE8RnUexLYQYobWaoe8iA6Tur9JACrH2vtCR44ZGA9G
-p x
-k --donate-level=1 多TM捞的病毒。。 真厉害啊,谢谢 谢谢 学习了 真厉害啊,谢谢 . 我这笔记本怕是挖不了... 期待以后出更多此类的文章,另外你这用的是什么工具 能找出制作人吗这个 哈哈 感谢大佬的分析。。。。还有个细节我忘记说了真正的挖矿程序目前还在我服务器上。。。忘记路径了。。。我干掉这个程序后杀掉挖矿进程 重启后忘记路径了......
就是 WmiPrvSE.exe这个文件 慵懒丶L先森 发表于 2018-6-18 22:08
期待以后出更多此类的文章,另外你这用的是什么工具
你说哪个工具