频道栏目
首页 > 安全 > 网络安全 > 正文

看看影音恶意挖矿行为分析

2016-09-16 09:27:49           
收藏   我要投稿

configurl配置的脚本内容如下:

\

[挖矿任务脚本配置的DLL下载地址]

里面配置了deploy.dll的3个下载地址caburl、caburl_without、caburl_withoutwithdll,其中caburl是编译了opencl的,caburl_without是没有编译opencl的,caburl_withoutwithdll是没有编译opencl但打包了OpenCl.dll的。但脚本中总是去下载caburl,最后调用rundll32.exe加载Deploy64.dll运行:

\

[脚本调用rundll32.exe加载Deploy64.dll]

完整命令行如下:

c:\windows\system32\rundll32.exe“%TEMP%\Deploy64.dll” ,Control_RunDLL index_class_d=%d

其中参数index_class_d在taskschedule_v1.2.dat中的任务参数配置块中指定。

Deploy64.dll加载起来后就开始执行真正的挖矿代码了,是导致GPU使用率大增、电脑过热、C盘可用空间变小的真正元凶。

Deploy64.dll分析

Deploy64.dll加载后会创建2个线程:CSafeRT::MonitorThread和EthThread。其中CSafeRT::MonitorThread是监控线程,而EthThread是挖矿线程。

CSafeRT::MonitorThread

该线程会创建一个窗口,窗口类名为__deploy_CSafeRTImpl,窗口名称为__deploy_CSafeRTImpl_i_1_5,然后在窗口过程函数中检测调试器和枚举窗口,如果检测到被调试或有检测工具窗口存在则退出。

\

[检测到正在被调试则退出]

\

[检测到以上窗口标题则退出]

上一篇:冒用数字签名的对抗:亟需加强的签名审核
下一篇:关于Python漏洞挖掘那些不得不提的事儿
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站