[原创]记一个门罗币的挖矿病毒-软件逆向-看雪-安全社区|安全招聘|kanxue.com

binlmmhc

2018-12-18 00:16

8270

1、 run.cmd, 创建计划任务，执行一个vbs脚本

2、dglip.vbs 同样，先执行另外一个vbs脚本dnwdq.vbs，下载了配置文件之后，再执行

Kdps1.vbsl

3、dnwdq.vbs 从一个配置文件中读取信息，然后下载一个配置文件wpstl.conf

05485.txt即为wpstl.conf

然后kdpsl.vbs会根据这个地址下载一个程序，这个程序还是一个vbs脚本，然后执行

下载了w.vbs

首先会创建 %AppDateFolder%/jeccn/jcecn.exe, 配置好挖矿程序的下载链接，下载挖矿程序然后，连接矿池，挖矿

该程序为一个XMR（门罗币）的挖矿程序

在之前的脚本中，启动参数中有该用户的用户名和密码

可以在官方的网站看到，矿池的信息https://monero.miningpoolhub.com/

收藏・0

免费・1

支持

最新回复 (4)
Editor 雪币： 26588 活跃值： (63257) 能力值： (RANK：135 ) 在线值：发帖 1683 回帖 4390 粉丝 1763 关注私信	Editor 2 楼有样本吗？ 2018-12-18 11:01 0
binlmmhc 雪币： 2107 活跃值： (1429) 能力值： ( LV8，RANK：126 ) 在线值：发帖 12 回帖 75 粉丝 16 关注私信	binlmmhc 3 楼 C2服务器还活着的，直接去下就行了或者去virustotal用hash查一下就可以找到了 2018-12-18 12:37 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 5 楼 mark 2020-6-9 17:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

binlmmhc

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (4)
Editor 雪币： 26588 活跃值： (63257) 能力值： (RANK：135 ) 在线值：发帖 1683 回帖 4390 粉丝 1763 关注私信	Editor 2 楼有样本吗？ 2018-12-18 11:01 0
binlmmhc 雪币： 2107 活跃值： (1429) 能力值： ( LV8，RANK：126 ) 在线值：发帖 12 回帖 75 粉丝 16 关注私信	binlmmhc 3 楼 C2服务器还活着的，直接去下就行了或者去virustotal用hash查一下就可以找到了 2018-12-18 12:37 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 5 楼 mark 2020-6-9 17:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复