吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 32503|回复: 58
收起左侧

[PC样本分析] 一个挖矿病毒浅析

  [复制链接]
pcjy 发表于 2018-6-17 04:08
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
第一次尝试写病毒分析,略显笨拙。请谅解!

样本来源:
火绒提示挖矿软件,阿里云盾提示挖矿
https://www.52pojie.cn/thread-753278-1-1.html
(出处: 吾爱破解论坛)

该病毒伪装成 搜狗拼音输入法 扩展功能管理器 的应用程序(简称:A.exe)
外壳1信息.PNG

当运行后内存加载一个dll
dll.PNG
dll对矿池地址进行有效性检测
而后这个创建一个挂起的进程 WmiPrvSE.exe
矿池.PNG
启动挖矿.PNG

病毒进程.PNG
并且加载一个驱动对A.exe的进程进行保护

驱动信息1.PNG
驱动信息2.PNG

添加了自启动,启动的程序为A.exe的当前完整路径
自启动.PNG

然后通过dll进行对创建的WmiPrvSE.exe进程内存进行重写。
写入的内存数据为挖矿主体程序,重置线程上下文。并恢复该进程开始挖矿!
这是我将挖矿主体dump出来后手动启动挖矿的图,有点酷!
挖的是门罗币。
挖矿主程序信息.PNG
主程序.PNG

然后dll就报错了自己了结了罪恶的一生
这真是个目标单纯的病毒啊!
报错.PNG



解决办法:删除掉A.exe,清除自启动就没了!

流程图.png


免费评分

参与人数 11吾爱币 +19 热心值 +11 收起 理由
Jack_007 + 1 + 1 热心回复!
独孤傲弑 + 1 + 1 我很赞同!
墨竹残水烟花冷 + 1 我很赞同!
wangyujie96 + 1 + 1 这熟悉的错误框,易语言??????
张兴杰 + 1 + 1 用心讨论,共获提升!
hjdper + 1 + 1 谢谢@Thanks!
slink0 + 1 + 1 又是搜狗,我发现搜狗的"质检"不行啊
锁匙扣 + 1 + 1 用心讨论,共获提升!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
丶小蓝丶 + 2 + 1 感谢大佬的分析谢谢~
jkl5322203 + 3 + 1 这真是个目标单纯的病毒啊!你是真皮

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2018-6-26 15:50
代码分析有些少呀,看过程应该是小学生用易语言打包的现成程序进行挖矿的,那个驱动应该也是别人的吧?

挖矿用的是开源挖矿xmr程序注入到wmiprvse.exe添加矿池参数启动:
-a cryptonight
-o stratum+tcp://37.187.154.79:443
-u 49UFtcDaDaMVC2f1SDkivEgUiAU4pB4B1XPqa96oxTXyF9fp7GvydE8RnUexLYQYobWaoe8iA6Tur9JACrH2vtCR44ZGA9G
-p x
-k --donate-level=1
boy7928 发表于 2018-6-18 06:59
wangjun8883 发表于 2018-6-18 07:06
FUcksir 发表于 2018-6-18 10:58
谢谢 学习了
qqzfh138 发表于 2018-6-18 16:54
真厉害啊,谢谢        .
rxxcy 发表于 2018-6-18 21:18
我这笔记本怕是挖不了...
慵懒丶L先森 发表于 2018-6-18 22:08
期待以后出更多此类的文章,另外你这用的是什么工具
uav 发表于 2018-6-18 22:28
能找出制作人吗这个
丶小蓝丶 发表于 2018-6-18 22:35
哈哈 感谢大佬的分析。。。。还有个细节我忘记说了真正的挖矿程序目前还在我服务器上。。。忘记路径了。。。我干掉这个程序后杀掉挖矿进程 重启后忘记路径了......


就是   WmiPrvSE.exe  这个文件
 楼主| pcjy 发表于 2018-6-18 23:02
慵懒丶L先森 发表于 2018-6-18 22:08
期待以后出更多此类的文章,另外你这用的是什么工具

你说哪个工具
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:57

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表