當前位置:首頁 » 挖礦知識 » 挖礦木馬有哪些

挖礦木馬有哪些

發布時間: 2024-06-27 12:12:41

挖礦木馬的傳播途徑是什麼

挖礦木馬是依賴漏洞、外掛程序、網頁掛馬、弱口令等途徑進行傳播的,騰訊電腦管家的2017年網路安全報告有說這個問題。

❷ 集後門木馬、挖礦腳本、勒索病毒於一身,這個ZIP壓縮文件厲害了

近日,白帽子黑客Marco Ramilli捕獲到了一封「奇特」的惡意電子郵件,其中包含一條鏈接,一旦點擊就會導致一個名為「pik.zip」的壓縮文件被下載。之所以說它奇特,是因為包含在這個ZIP文件中的JavaScript腳本文件採用了西里爾字母進行命名——被命名為「Группа Компаний ПИК подробности заказа」,翻譯過來就是「PIK集團公司訂單詳情」。

需要說明的是,目前使用西里爾字母的文字包括俄語、烏克蘭語、盧森尼亞語、白俄羅斯語、保加利亞語、塞爾維亞語和馬其頓語等,而PIK恰好就是俄羅斯的一家房地產公司,擁有超過1.4萬名員工。也就是說,攻擊者顯然試圖將電子郵件偽裝成來自PIK公司,從而藉助該公司的聲譽開展攻擊活動。

Marco Ramilli表示,攻擊者使用了多種混淆技術來對該腳本JavaScript進行混淆處理。其中,在感染第一階段階段存在兩個主要的混淆流:

該腳本最終會釋放並執行一個虛假的圖像文件「msg.jpg」,該文件實際上是一個經過UPX加殼的Windows PE文件,被用於感染的第二階段。

在感染的第二階段,三個額外的模塊會被釋放並執行:一個後門木馬、一個挖礦腳本和一種此前曾被廣泛報道過的勒索病毒——Troldesh。

分析表明,第一個被釋放的模塊(327B0EF4.exe)與Troldesh非常相似。該勒索病毒會在加密目標文件之後對其進行重命名並附加一個「.crypted00000」擴展名。舉例來說,當一個名為「1.jp」的文件在被加密之後,其文件名就會被重命名為「hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007」。同時,Troldesh還會篡改計算機桌面的壁紙,以顯示勒索信息:

第二個被釋放的模塊(37ED0C97.exe)是被證實一個名為「nheqminer」的挖礦腳本,被用於挖掘大零幣(Zcash,一種加密貨幣)。

第三個安裝被釋放的模塊(B56CE7B7.exe)則被證實是Heur木馬,該木馬的主要功能是針對WordPress網站實施暴力破解,曾在2017年被廣泛報道。

根據Marco Ramilli的說法,該木馬的典型行為與HEUR.Trojan.Win32.Generic非常相似,包括:

一旦該木馬安裝成功,就會通過暴力破解來尋求弱口令憑證,而一旦發現了弱口令憑證,就將pik.zip復制到這些WordPress網站中。

Marco Ramilli認為,此次攻擊活動背後的攻擊者顯然試圖通過多種渠道來牟利——勒索病毒和加密貨幣挖礦腳本。此外,攻擊者還試圖通過受感染計算機來暴力破解並控制隨機的WordPress網站。這樣的攻擊活動工作量顯然非常大,且很容易被檢測到。因此,攻擊者不太可能是某個國家黑客組織,而只是一群想要同時通過多種方式來牟利的網路犯罪分子。

❸ 挖礦木馬是什麼

就是你電腦後台自行消耗顯卡與CPU資源的木馬病毒,這種木馬是看你電腦配置很高,後台自行挖礦,你一般看不出來,但是你顯卡或CPU佔用很高的。

❹ LTC挖礦軟體cgminer內有木馬怎麼辦

你這個軟體就說明帶有木馬呀
Trojan一詞的特洛伊木馬本意是特洛伊的,指特洛伊木馬,是木馬計的故事
如果電腦中了木馬建議盡快殺毒以免造成系統問題
可以先做一次全盤殺毒
然後針對性的:
騰訊電腦管家--工具箱--木馬剋星
最後開啟實時防毒保護。

❺ WannaMine挖礦木馬手工處理

關於病毒及木馬的問題,都說老生常談的了,這里就不講逆向分析的東西,網上畢竟太多。就寫一下WannaMine2.0到4.0的手工處理操作。確實,很多時候都被問的煩了。

WannaCry勒索與WannaMine挖礦,雖然首次發生的時間已經過去很久了,但依舊能在很多家內網見到這兩個,各類殺毒軟體依舊無法清除干凈,但可以阻斷外聯及刪除病毒主體文件,但依然會殘留一些。此種情況下,全流量分析設備依舊可以監測到嘗試外聯,與445埠掃描行為。

WannaCry 在使用殺毒軟體及手動清除攻擊組件所在目錄後,仍需手動cmd命令刪除兩個系統服務sc delete mssecsvc2.0與mssecsvc2.1。

WannaMine 全系使用「永恆之藍」漏洞,在區域網內快速傳播。且高版本會在執行成功後完全清除舊版本。

下圖為WannaCry與WannaMine使用的永恆之藍攻擊組件相關文件。

WannaMine2.0版本

該版本釋放文件參考如下:
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 刪除系統服務名與DLL文件對應的wmassrv。

WannaMine3.0版本

該版本釋放文件參考如下:

C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll

需刪除主服務snmpstorsrv與UPnPHostServices計劃任務

WannaMine4.0版本

該版本釋放文件參考如下:

C:WindowsSystem32 dpkax.xsl

C:WindowsSystem32dllhostex.exe

C:.dll

C:.dll

C:WindowsSysWOW64dllhostex.exe

C:WindowsNetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名隨機組合參考• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分:Service、Host、Client、Event、Manager、Helper、System •rdp壓縮文件隨機字元串後綴:xml、log、dat、xsl、ini、tlb、msc</pre>

關於Windows下計劃任務與啟動項查看方式,建議在使用PCHunter、Autoruns、ProcessHacker等工具無法發現異常的情況下,可以到注冊表下查看。

注冊表下排查可疑的計劃任務

HKEY_LOCAL_

發現可疑項可至tasks下查看對應ID的Actions值

HKEY_LOCAL_ asks[圖片上傳失敗...(image-e8f3b4-1649809774433)]

計劃任務文件物理目錄
C:

新變種病毒有依靠 WMI 類屬性存儲 ShellCode 進行攻擊,Autoruns可以用來檢查WMI與啟動項並進行刪除,在手動刪除病毒相關計劃任務與啟動項時,記得刪除相應的文件與注冊表ID對應項。

注冊表下查看開機啟動項
HKEY_CURRENT_或runOnce [圖片上傳失敗...(image-8a357b-1649809774432)]

❻ one system care是什麼東西

是一種下載了會自動在電腦植入惡意挖礦木馬和修改用戶DNS配置強行插入廣告木馬的工具。不建議下載。

啟動腳本定時去執行請求URL,木馬作者只需要將URL設置成木馬可下載,用戶就會中招。

❼ 撒旦挖礦木馬是怎麼侵入電腦的

該變種利用永恆之藍漏洞進行網路攻擊,一旦入侵成功,就會上傳中毒電腦信息、更新病毒模塊、下載執行挖礦模塊以及執行網路攻擊模塊進行蠕蟲式擴散。由於該變種具備感染性強、傳播速度快、波及范圍廣等顯著特點,極易在企業內網爆發,需要引起行業用戶及安全業界的高度警惕。可以用騰訊電腦管家進行防禦的

熱點內容
以太坊幣圈信息預測 發布:2024-11-17 23:13:49 瀏覽:291
最新手機挖礦軟體下載 發布:2024-11-17 23:04:22 瀏覽:512
禁比特幣平台 發布:2024-11-17 22:31:16 瀏覽:286
區塊鏈pdf新浪博客 發布:2024-11-17 22:27:48 瀏覽:531
eth要轉成pos還要等6年 發布:2024-11-17 22:21:49 瀏覽:960
重啟linuxeth0 發布:2024-11-17 22:09:55 瀏覽:975
usdt的trc20是什麼 發布:2024-11-17 21:49:18 瀏覽:564
shib幣首發在哪個平台 發布:2024-11-17 21:28:28 瀏覽:664
比特幣工資演算法 發布:2024-11-17 21:19:48 瀏覽:836
挖礦原理效益 發布:2024-11-17 21:12:20 瀏覽:959