一棍丐、起因
安裝的一個軟件需要再關(guān)閉殺毒軟件的情況下才能安裝,筆記本開機后cpu利用率飆升沧踏,很可能是中了木馬歌逢。
任務管理器.jpg
二、排查
1.從任務管理器可以看到名為m6g.exe的進程占用了大量cpu資源翘狱,在c:\windows\temp目錄找到m6g.exe趋翻,上傳到VT,多個引擎標記了該木馬為門羅幣挖礦木馬盒蟆。
圖片.png
2.使用安全工具來分析行為
process hacker查看到與m6g.exe通信的遠端服務器ip踏烙,與大量的powershell進程。
110.172.100.87
121.9.244.196
圖片.png
powershell.jpg
wireshark捕獲通信流量包历等,過濾查看m6g.exe與服務端通信內(nèi)容讨惩,查看到一些礦池信息。
圖片.png
查看計劃任務與WMI寒屯,在計劃任務中發(fā)現(xiàn)多個隨機命名的任務會執(zhí)行poweshell腳本荐捻,從遠端服務器下載挖礦木馬到本地,火絨殺毒查殺m6g.exe文件后寡夹,ps1腳本又會從服務器下載m6g.exe到本地執(zhí)行处面,然后火絨又查殺,這個過程一直持續(xù)著...
圖片.png
圖片.png
三菩掏、木馬信息
1.下載服務器的URL地址
http://167.99.227.91
110.172.100.87
121.9.244.196
2.挖礦地址
t.awcna.com:443
t.awcna.com/x.js
down.ackng.com
3.錢包地址
記錄有礦池地址和錢包地址的.json配置文件被我誤刪 ^ ^
有興趣的大佬分析下
四魂角、處理
刪除執(zhí)行powershell腳本的任務計劃
使用火絨殺毒全盤查殺
(文章對門羅幣挖礦木馬的分析僅僅做基本處理,更高層次分析需要逆向m6g.exe智绸,VT的樣本hash:b45c98d40fd91c939e7f7bddd47d61f8ad99795d8dcd5265628558dfe335e989)
