http://www.7klian.com

门罗币挖矿&远控木马样天职析

并被启动执行,还会直接读取文件的内容。

而且以System账户运行, 克日。

该DLL的主要成果都会合在这个函数中,并不代表本站附和其概念和对其真实性认真,,接洽邮箱admin@myhack58.com,到指定站点下载具有远控成果的样本,同时还会联网下载挖矿措施,仅适于网络安详技能喜好者进修研究利用, 判定是不是打点员权限运行 加载内存DLL 内存DLL有一个导出函数StartAsFrameProcess,获取受害主机信息。

不然就解密并加载内存PE, sqlbrowsers.exe会首先查抄当前历程是不是以打点员权限运行,本重定名为sqlagentc.exe, 由日志可以确认,该样本回在执行挖矿的同时,矿池地点为 x.huineng.co:80 ip地点为 154.92.19.164。

诱导用户点击执行。

该文件在下载到当地之后, [1] 【声明】:黑吧安详网()刊登此文出于通报更多信息之目标,目标也是为了确保历程SQLAGENTSN.exe会一直在运行, 木马行为 该样本主体除了载挖矿措施举办挖矿之外,文件列表如下: 个中startas.bat剧本认真将SQLAGENTSON.exe建设为处事,该站点为一个HFS下载站点: 针对cpu32.exe的文件举办阐明,AutoRun.vbs剧本的内容和VBS.vbs剧本的内容很相似,存放于C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目次下,并进一步节制受害主机, 主体在执行时会释放拷贝自身到C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SQLAGENTSA.exe,发明该站点也是一个HFS下载站点, 启动参数为: --donate-level 1 --max-cpu-usage 75 -o x.huineng.co:80 -u x.0309C -p x -k sqlagentc.exe启动参数 同时在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目次下也发明白措施运行日志: 挖矿日志 个中CPU_log.txt 即为挖矿日志,我们会在最短的时间内举办处理惩罚, 样本中硬编码的设置文件路径 SQL.txt的内容 登录到站点上之后,威胁情报小组在对可疑下载类样本举办阐明时,如有问题请接洽我们,并读取C2设置文件,然后下载木马文件到当地继承执行, 拷贝自身并继承执行 SQLAGENTSA.exe 会在当地释放并执行名称为VBS.vbs和AutoRun.vbs的两个vbs剧本,发明该文件实际是操作了开源代码XMRig2.11版本的门罗币挖矿措施。

通过C2设置文件,从中获取木马文件地点,下载木马文件继承执行, VBS.vbs剧本内容 该剧本的目标就是为了确保历程SQLAGENTSN.exe会一直在运行,发明一起门罗币挖矿+木马的双成果样本,而且文件描写信息为 360主动防止处事模块,假如不是的话就以打点员权限再次启动历程, 挖矿行为 样本中存在如下硬编码文件路径: 登录站点可以发明, 具体阐明进程 样本主体 样本主体文件回收的是360杀软的图标,进修中请遵循国度相关法令礼貌,。

并继承执行, 。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。