频道栏目
首页 > 安全 > 网络安全 > 正文

看看影音恶意挖矿行为分析

2016-09-16 09:27:49           
收藏   我要投稿

EthThread

Ethread是执行挖矿的主体线程,首先下载挖矿配置文件https://***.kankan.com/deploy/dtask%d_.ini,其中%d由传入参数index_class_d指定,目前0-7有效。该配置文件内容如下:

\

[挖矿配置文件]

读取配置字段后使用AES128算法解密,得到

p = “https://eth-asia1.nanopool.org:8888”;us = “0x7016df7C2d2AcF0DAc218A410e61002A66837151;

0xEaABAF0384EE73bca43c2A698e240d64de09081b;

0x0af856fbEd6e93A01b3c4557D64edc99C5a5d46B;

0x669F588F103764f98b94ceBFB6fB93bbd5dF2CFc;

0xedC148759dFdFfA3EEfF01Ea64B2aBf20642799f;

0xfE7c793eD4F16B6d05eC763D98389590b0c812E1;

0xc556d14247A59d1E0886bB21b4fAe1481C744191;

0xb1d42965F539eAF688938A16be47558053D57A52;

0x6563b8A0a6238edc8c3bBD7E23AB6174DED92165;

0x9C3dc3Bc89a0f16B1CBc2bA8b35427d286F783ec;

0xFfB6faEF01A41330425ae1795601f6D3F7c1d762”

\

[解密得到的挖矿参数]

然后拼接得到 https://eth-asia1.nanopool.org:8888/0xFfB6faEF01A41330425ae1795601f6D3F7c1d762。

\

[启动挖矿参数]

传的参数给自身进程,开始挖矿。其中参数-G指定使用GPU挖矿,参数-F指定矿场url。挖矿开始后会在用户目录下生成Ethash目录,其中的挖矿数据文件格式如下,单个文件大小超过1.5GB。同时造成用户电脑GPU占用率飙升,电脑发热增大等现象。

\

[Deploy64.dll生成的挖矿文件]

以上就是看看影音利用用户电脑运算资源进行挖矿的整个过程分析。由于看看影音本身属于正常软件,通常被各安全软件直接信任,从而导致这种恶意行为难以被发现。目前毒霸可以查杀该恶意行为。

\

[毒霸拦截查杀挖矿病毒]

\

[毒霸清理挖矿数据文件]

上一篇:冒用数字签名的对抗:亟需加强的签名审核
下一篇:关于Python漏洞挖掘那些不得不提的事儿
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站