标签:挖矿
整理来自:(1)WannaMine来了?警惕“永恒之蓝”挖矿长期潜伏
http://www.freebuf.com/articles/network/164869.html
(2)NrsMiner:一个构造精密的挖矿僵尸网络
http://www.freebuf.com/articles/system/162874.html
(一)WannaMine
病毒文件:
hash/hash64:为32位/64位挖矿程序,会被重命名为TrueServiceHost.exe。
spoolsv/spoolsv64:为32位/64位攻击母体,会被重命名为spoolsv.exe。
srv/srv64:为32位/64位为主服务,攻击入口点,会被重命名为tpmagentservice.dll。
本文所述病毒文件,释放在下列文件目录中
C:\Windows\System32\MsraReportDataCache32.tlb
C:\Windows\SecureBootThemes\
C:\Windows\SecureBootThemes\Microsoft\
C:\Windows\SecureBootThemes\Crypt\
注册服务:srv。 主服务文件:tpmagentservice.dll
外网链接:
hxxp://acs.njaavfxcgk3.club:4431/f79e53
hxxp://rer.njaavfxcgk3.club:4433/a4c80e
hxxp://rer.njaavfxcgk3.club:4433/5b8c1d
hxxp://rer.njaavfxcgk3.club:4433/d0a01e
日志文件:stage1.txt。
日志文件:stage2.txt
DoublePulsar后门程序spoolsv.exe的配置文件:spoolsv.xml
挖矿地址:nicehash.com、minergate.com
(二)NrsMiner
病毒更新包文件:NrsDataCache.tlb(1)主控模块作为服务“Hyper-VAccess Protection Agent Service”,模块名:vmichapagentsrv.dll
该服务被加入netsvcs服务组中借助svchost.exe启动(找到注册表子健HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 并打开子健项netsvcs。netsvcs里面的值就是svchost的服务组netsvcs所启动的所有服务?)
(2)网络:vpp.jdi1diejs.club(打点)
dlr.noilwut0vv[.]club/d/msdownload/others/BtnProtocol.exe(模块更新)
log[.]oiwcvbnc2e.stream(模块更新)
hxxp://vpp.jdi1diejs.club/NrsDataCache.tlb
mg[.]jdi1diejs.club:45560(矿池)
(3)挖矿程序:hash,将其复制到system32或SysWOW64目录下命名为TaskSyncHost.exe并启动该程序进行挖矿。
(4)释放的WebServer绑定的端口为26397
存放NrsMiner组件的路径
路径
C:\Windows\IME
C:\windows\SysprepThemes
C:\windows\Sysnative
C:\windows\securebootthemes
永恒之蓝攻击文件夹:
?
解决方案:
(1)打补丁ms17-010
(2)安装杀毒软件查杀。
标签:挖矿
原文地址:http://blog.51cto.com/antivirusjo/2089077
