挖矿木马有哪些
❶ 挖矿木马的传播途径是什么
挖矿木马是依赖漏洞、外挂程序、网页挂马、弱口令等途径进行传播的,腾讯电脑管家的2017年网络安全报告有说这个问题。
❷ 集后门木马、挖矿脚本、勒索病毒于一身,这个ZIP压缩文件厉害了
近日,白帽子黑客Marco Ramilli捕获到了一封“奇特”的恶意电子邮件,其中包含一条链接,一旦点击就会导致一个名为“pik.zip”的压缩文件被下载。之所以说它奇特,是因为包含在这个ZIP文件中的JavaScript脚本文件采用了西里尔字母进行命名——被命名为“Группа Компаний ПИК подробности заказа”,翻译过来就是“PIK集团公司订单详情”。
需要说明的是,目前使用西里尔字母的文字包括俄语、乌克兰语、卢森尼亚语、白俄罗斯语、保加利亚语、塞尔维亚语和马其顿语等,而PIK恰好就是俄罗斯的一家房地产公司,拥有超过1.4万名员工。也就是说,攻击者显然试图将电子邮件伪装成来自PIK公司,从而借助该公司的声誉开展攻击活动。
Marco Ramilli表示,攻击者使用了多种混淆技术来对该脚本JavaScript进行混淆处理。其中,在感染第一阶段阶段存在两个主要的混淆流:
该脚本最终会释放并执行一个虚假的图像文件“msg.jpg”,该文件实际上是一个经过UPX加壳的Windows PE文件,被用于感染的第二阶段。
在感染的第二阶段,三个额外的模块会被释放并执行:一个后门木马、一个挖矿脚本和一种此前曾被广泛报道过的勒索病毒——Troldesh。
分析表明,第一个被释放的模块(327B0EF4.exe)与Troldesh非常相似。该勒索病毒会在加密目标文件之后对其进行重命名并附加一个“.crypted00000”扩展名。举例来说,当一个名为“1.jp”的文件在被加密之后,其文件名就会被重命名为“hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007”。同时,Troldesh还会篡改计算机桌面的壁纸,以显示勒索信息:
第二个被释放的模块(37ED0C97.exe)是被证实一个名为“nheqminer”的挖矿脚本,被用于挖掘大零币(Zcash,一种加密货币)。
第三个安装被释放的模块(B56CE7B7.exe)则被证实是Heur木马,该木马的主要功能是针对WordPress网站实施暴力破解,曾在2017年被广泛报道。
根据Marco Ramilli的说法,该木马的典型行为与HEUR.Trojan.Win32.Generic非常相似,包括:
一旦该木马安装成功,就会通过暴力破解来寻求弱口令凭证,而一旦发现了弱口令凭证,就将pik.zip复制到这些WordPress网站中。
Marco Ramilli认为,此次攻击活动背后的攻击者显然试图通过多种渠道来牟利——勒索病毒和加密货币挖矿脚本。此外,攻击者还试图通过受感染计算机来暴力破解并控制随机的WordPress网站。这样的攻击活动工作量显然非常大,且很容易被检测到。因此,攻击者不太可能是某个国家黑客组织,而只是一群想要同时通过多种方式来牟利的网络犯罪分子。
❸ 挖矿木马是什么
就是你电脑后台自行消耗显卡与CPU资源的木马病毒,这种木马是看你电脑配置很高,后台自行挖矿,你一般看不出来,但是你显卡或CPU占用很高的。
❹ LTC挖矿软件cgminer内有木马怎么办
你这个软件就说明带有木马呀
Trojan一词的特洛伊木马本意是特洛伊的,指特洛伊木马,是木马计的故事
如果电脑中了木马建议尽快杀毒以免造成系统问题
可以先做一次全盘杀毒
然后针对性的:
腾讯电脑管家--工具箱--木马克星
最后开启实时防毒保护。
❺ WannaMine挖矿木马手工处理
关于病毒及木马的问题,都说老生常谈的了,这里就不讲逆向分析的东西,网上毕竟太多。就写一下WannaMine2.0到4.0的手工处理操作。确实,很多时候都被问的烦了。
WannaCry勒索与WannaMine挖矿,虽然首次发生的时间已经过去很久了,但依旧能在很多家内网见到这两个,各类杀毒软件依旧无法清除干净,但可以阻断外联及删除病毒主体文件,但依然会残留一些。此种情况下,全流量分析设备依旧可以监测到尝试外联,与445端口扫描行为。
WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后,仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。
WannaMine 全系使用“永恒之蓝”漏洞,在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。
下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。
WannaMine2.0版本
该版本释放文件参考如下:
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 删除系统服务名与DLL文件对应的wmassrv。
WannaMine3.0版本
该版本释放文件参考如下:
C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll
需删除主服务snmpstorsrv与UPnPHostServices计划任务
WannaMine4.0版本
该版本释放文件参考如下:
C:WindowsSystem32 dpkax.xsl
C:WindowsSystem32dllhostex.exe
C:.dll
C:.dll
C:WindowsSysWOW64dllhostex.exe
C:WindowsNetworkDistribution
<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名随机组合参考• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分:Service、Host、Client、Event、Manager、Helper、System •rdp压缩文件随机字符串后缀:xml、log、dat、xsl、ini、tlb、msc</pre>
关于Windows下计划任务与启动项查看方式,建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下,可以到注册表下查看。
注册表下排查可疑的计划任务
HKEY_LOCAL_
发现可疑项可至tasks下查看对应ID的Actions值
HKEY_LOCAL_ asks[图片上传失败...(image-e8f3b4-1649809774433)]
计划任务文件物理目录
C:
新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击,Autoruns可以用来检查WMI与启动项并进行删除,在手动删除病毒相关计划任务与启动项时,记得删除相应的文件与注册表ID对应项。
注册表下查看开机启动项
HKEY_CURRENT_或runOnce [图片上传失败...(image-8a357b-1649809774432)]
❻ one system care是什么东西
是一种下载了会自动在电脑植入恶意挖矿木马和修改用户DNS配置强行插入广告木马的工具。不建议下载。
启动脚本定时去执行请求URL,木马作者只需要将URL设置成木马可下载,用户就会中招。
❼ 撒旦挖矿木马是怎么侵入电脑的
该变种利用永恒之蓝漏洞进行网络攻击,一旦入侵成功,就会上传中毒电脑信息、更新病毒模块、下载执行挖矿模块以及执行网络攻击模块进行蠕虫式扩散。由于该变种具备感染性强、传播速度快、波及范围广等显著特点,极易在企业内网爆发,需要引起行业用户及安全业界的高度警惕。可以用腾讯电脑管家进行防御的