码迷,mamicode.com
首页 > 其他好文 > 详细

wanacry变种-挖矿

时间:2018-03-20 18:07:11      阅读:1328      评论:0      收藏:0      [点我收藏+]

标签:挖矿

整理来自:

(1)WannaMine来了?警惕“永恒之蓝”挖矿长期潜伏
http://www.freebuf.com/articles/network/164869.html
(2)NrsMiner:一个构造精密的挖矿僵尸网络
http://www.freebuf.com/articles/system/162874.html

(一)WannaMine

病毒文件:
hash/hash64:为32位/64位挖矿程序,会被重命名为TrueServiceHost.exe。
spoolsv/spoolsv64:为32位/64位攻击母体,会被重命名为spoolsv.exe。
srv/srv64:为32位/64位为主服务,攻击入口点,会被重命名为tpmagentservice.dll。

本文所述病毒文件,释放在下列文件目录中
C:\Windows\System32\MsraReportDataCache32.tlb
C:\Windows\SecureBootThemes\
C:\Windows\SecureBootThemes\Microsoft\
C:\Windows\SecureBootThemes\Crypt\

注册服务:srv。 主服务文件:tpmagentservice.dll

外网链接:
hxxp://acs.njaavfxcgk3.club:4431/f79e53
hxxp://rer.njaavfxcgk3.club:4433/a4c80e
hxxp://rer.njaavfxcgk3.club:4433/5b8c1d
hxxp://rer.njaavfxcgk3.club:4433/d0a01e

日志文件:stage1.txt。
日志文件:stage2.txt
DoublePulsar后门程序spoolsv.exe的配置文件:spoolsv.xml

挖矿地址:nicehash.com、minergate.com

(二)NrsMiner

病毒更新包文件:NrsDataCache.tlb

(1)主控模块作为服务“Hyper-VAccess Protection Agent Service”,模块名:vmichapagentsrv.dll
该服务被加入netsvcs服务组中借助svchost.exe启动(找到注册表子健HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 并打开子健项netsvcs。netsvcs里面的值就是svchost的服务组netsvcs所启动的所有服务?)

(2)网络:vpp.jdi1diejs.club(打点)
dlr.noilwut0vv[.]club/d/msdownload/others/BtnProtocol.exe(模块更新)
log[.]oiwcvbnc2e.stream(模块更新)
hxxp://vpp.jdi1diejs.club/NrsDataCache.tlb
mg[.]jdi1diejs.club:45560(矿池)

(3)挖矿程序:hash,将其复制到system32或SysWOW64目录下命名为TaskSyncHost.exe并启动该程序进行挖矿。

(4)释放的WebServer绑定的端口为26397

存放NrsMiner组件的路径
路径
C:\Windows\IME
C:\windows\SysprepThemes
C:\windows\Sysnative
C:\windows\securebootthemes

永恒之蓝攻击文件夹:
?
技术分享图片

解决方案:

(1)打补丁ms17-010
(2)安装杀毒软件查杀。

wanacry变种-挖矿

标签:挖矿

原文地址:http://blog.51cto.com/antivirusjo/2089077

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!