安全狗解读explore一键挖矿病毒

企业动态
纯powershell编写挖矿前置脚本,不是像以前那种使用批处理等简单挖矿了,使用一系列持久化机制,保证自身挖矿功能;

近期安全狗海青安全研究实验室捕获了一个新的挖矿木马样本,目前网络上还未见到关于它的分析。与以往的木马相比,这次捕获的样本有了不小的“进化”:手段更加隐蔽,清除更加困难。我们对它的各项特点进行了分析,希望给行业内带来针对此类木马的新的认识,进而发掘更有效的防护措施。详细内容可以关注公众号“安全狗”了解,这里只是摘取部分重要内容。

木马特点

1.纯powershell编写挖矿前置脚本,不是像以前那种使用批处理等简单挖矿了,使用一系列持久化机制,保证自身挖矿功能;

2.探测防火墙,探测虚拟机,探测反木马软件,进行对应的行为;

3.修改防火墙及反木马软件配置及策略,避免一些防护软件扫描,以及防火墙将挖矿链接阻断;

4.缓存认证密码,可选增加用户等机制;

5.使用代理中转连接,每个肉鸡都是代理服务器,增加了追踪溯源难度;

6.使用更新维护机制,若不清除干净,会常常复发;

7.系统隐藏目录存放文件,且很难清除;

8.清除竞争对手,保证自己利益***化;

9.使用涉及各方面技术较多。

 

处置方案

1、进程清理

清理转发规则:

Powershell运行以下命令

Start-Process PowerShell.exe -ArgumentList("-c &{netsh interface portproxy delete v4tov4 listenport=757;netsh interface portproxy delete v4tov4 listenport=703;pause}") -Verb runas

清理带有\System32\drivers\WmiPrvSE.ps1文件路径的进程(可能已经退出)

2、注册表清理

病毒配置:\HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\DriversPath

防火墙配置清除

检查防火墙配置

HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\

将防火墙策略配置修改为正常状态

修改

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential 为0

为0

 

3、文件清理

删除目录及文件

C:\Windows\Fonts\arial

C:\Windows\Fonts\Logs

C:\Windows\Fonts\temp

C:\Windows\Fonts\ttf

c:\windows\SoftwareDistribution\config.xml

c:\windows\system32\drivers\en-US\GpCheck.ps1

c:\windows\System32\drivers\WmiPrvSE.ps1

C:\Windows\System32\drivers\etc\services

C:\Windows\System32\drivers\etc\protocol

C:\Windows\System32\drivers\etc\networks

C:\Windows\System32\drivers\etc\lmhosts.sam

C:\Windows\System32\drivers\etc\hosts

若为域则要清除\\$domain\sysvol\$domain\Policies\及其子目录下的explorer.exe

 

正常情况下文件资源管理器是看不到logs目录的,而且显示了隐藏文件夹(win10和winserver2008下)也看不到,但可以在cmd或者powershell可以探测到

 

使用PCHUNTER强行删除,或者进入安全模式下删除,或者使用强力的杀毒软件对指定目录进行清除。

 

4、服务清理

服务名cspsvc,显示名为Cryptographic Service Providers。

5、任务计划清理

任务计划GpCheck

 

6、批量排查

Nmap批量扫描999端口

 

账户adm,密码14370

 

7.主机病毒木马检测

 

 

QQ截图20180802103857.png

责任编辑:张诚 来源: 51CTO
相关推荐

2018-08-20 13:24:00

安全狗

2009-10-19 14:09:31

网吧上网qq病毒木马

2015-02-09 15:25:52

换肤

2018-07-25 09:57:49

安全狗

2010-11-08 13:58:14

Check Point互联网安全移动访问软件刀片

2012-04-13 15:12:07

2012-08-06 16:26:54

2015-11-03 15:29:49

ONOS开放网络操作系统SDN

2009-02-23 14:03:32

2014-04-01 15:31:14

2022-04-24 14:11:26

病毒僵尸网络网络攻击

2023-06-15 10:00:00

Jenkins任务操作

2018-04-03 13:31:46

2010-09-26 15:16:16

俄罗斯破解WiFi密码软件

2017-12-21 14:50:37

2014-03-28 15:35:15

2018-06-07 10:37:39

2021-11-19 14:33:27

挖矿木马病毒

2020-11-24 11:00:24

前端

2021-04-23 10:38:52

Spring BootSpringMVC源码
点赞
收藏

51CTO技术栈公众号