记一次某公众号分享的软件自带挖矿程序分析

事情起因:

事情是这样的,最近出上映了《名侦探柯南:绯色的子弹》,我就在想网上有没有资源,随便百度了一下发现应该是没有的。就在这时,我的手机显示有新的消息,打开微信一看,是一个软件分享公众号叫:软件小妹的发布了新文章,分享一个磁力链搜索工具,因为我知道很多隐秘资源都通过磁力链分享,我就想着试试能不能搜到。

记一次某公众号分享的软件自带挖矿程序分析插图

当我下载完压缩包并开始解压时,我的火绒报毒了。

记一次某公众号分享的软件自带挖矿程序分析插图1

因为火绒对一些破解软件的误报率比较高,一开始我并没有在意,但是我注意到了一个细节,这个软件启动居然要2步?

记一次某公众号分享的软件自带挖矿程序分析插图2

这明显很不合理了,于是我将报毒程序上传到了多引擎病毒检测网站 VirusTotal(https://www.virustotal.com)有意思,居然有一半都没通过。

记一次某公众号分享的软件自带挖矿程序分析插图3

然后我查看了关于这个程序的社区分析报告:https://www.joesandbox.com/analysis/352816/0/html

记一次某公众号分享的软件自带挖矿程序分析插图4

好家伙,NB矿工、挖矿程序几个字足以说明一切,MD5、sha1等值也对得上,是挖矿程序无疑了

记一次某公众号分享的软件自带挖矿程序分析插图5

分析:

程序启动入口在哪?

我从两个方面下手,一个是报毒文件、一个是可疑的2个步骤启动

1.报毒文件

记一次某公众号分享的软件自带挖矿程序分析插图6

我先找到了报毒文件所在目录,在 解压目录->data文件夹里,可以看到WindowsHL.exe.sha256和WindowsHL.exe两个文件与报毒的文件有关,SHA256文件储存的应该就是WindowsHL这个应用程序的sha256信息(可以理解为一个文件的绝对唯一识别码),用记事本打开一看,还真叫nbminer.exe

记一次某公众号分享的软件自带挖矿程序分析插图7

还有一个可疑的批处理文件(双击就能运行指定代码):WindowsBac.bat  这个等会再看

2.回到解压目录

记一次某公众号分享的软件自带挖矿程序分析插图8

在2个步骤中,第一步最可疑,因为他是vbs文件(基于Visual Basic的脚本语言,同样双击就能运行代码

右键以记事本打开

记一次某公众号分享的软件自带挖矿程序分析插图9

以管理员模式运行、将“\data\driver_install.bat”这个文件复制到:“C:\Windows\”系统目录运行,再删掉。其他之前分析过的文件也是同样的操作

记一次某公众号分享的软件自带挖矿程序分析插图10

先右键->编辑打开所谓的“驱动安装”:driver_install.bat

记一次某公众号分享的软件自带挖矿程序分析插图11

主要语句就是 : nbminer --driver install

没错,是安装驱动,只不过是挖矿程序(nbminer)的驱动,看来之前的vbs程序是将挖矿有关程序的路径保留下来,然后根据sha256文件里储存的 nbminer 文件名 将 用于伪装的WindowsHL.exe 改名为 nbminer.exe(猜测是这样能骗过 查看了 “第一步 连接服务器 .vbs”这个文件代码的人,没有可疑信息)跳过driver_uninstall.bat,接下来看modify_tdr_delay.reg文件,修改注册表信息,简单说就是让你的显卡拼命工作(挖矿靠显卡),减少休息时间。

记一次某公众号分享的软件自带挖矿程序分析插图12

最后到了重头戏:WindowsBac.bat

记一次某公众号分享的软件自带挖矿程序分析插图13

启动挖矿程序->链接矿池->设置钱包。一气呵成

打开beepool.org(https://www.beepool.com/)发现是一个叫蜜蜂矿池的首页 ,这个挖矿程序挖的是RVN币。

记一次某公众号分享的软件自带挖矿程序分析插图14

查看一下这个钱包的收益: https://www.beepool.com/rvn/RGhPYYvh7Ebc3PYeyTiotTEyWEcRoQAk3X

记一次某公众号分享的软件自带挖矿程序分析插图15

已经有814人中招,总收益5830.73483 RVN 换算过来 7 096.75 RMB

后记:

最近挖矿的是越来越多了,在巨大的利益下总有人被蒙蔽了双眼,干出这种事来,白嫖他人的电脑与电力,在你不知道的时候利用你的电脑帮他赚钱。

这类挖矿程序是属于最简单的一种,属于外部植入式。只要跳过第一步,把挖矿程序删了就没事了,原来的程序一样可以运行。

由于本人不是专业人士(有错请不吝赐教),也只能看到这,如果是更高级的挖矿病毒没准就中招了,想想就后怕。肯定有更难发现,更流氓的挖矿病毒存在,请各位小心对待。

对于不少不懂电脑的朋友,下载东西时请绝对要相信你的杀毒软件,宁可信其有不可信其无,不要为了蝇头小利而将自己置于风险之中。如果你的电脑总是无端GPU跑满,那么就得注意了。

最后声明:

我不是专业人士,只是懂点编程,发现这个完全是偶然,关于更多东西我分析不出来。

有些人找我要源文件,文件已经被我删了,所有它分析的下载的链接也被取消了,所以找我是得不到文件的。

而且这东西稍微改一改就是自己的东西,我更不可能发出来让人有机可乘的。

其次,这也不一定是他的问题,不排除他找资源的时候没有测试好,一般搞了很久比较出名的公众号是不会搞这种事的,嗯,一般来说。

免责声明:

本站提供的资源,都来自网络,版权争议与本站无关,所有内容及软件的文章仅限用于学习和研究目的。不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负,我们不保证内容的长久可用性,通过使用本站内容随之而来的风险与本站无关,您必须在下载后的24个小时之内,从您的电脑/手机中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。侵删请致信E-mail:1411156739@qq.com
THE END
分享
二维码
打赏
< <上一篇
下一篇>>