“杀不掉”的“虚灵矿工”——门罗币挖矿木马分析报告

3wic 区块链科技 2022-06-01 19:32:29 xmr挖矿算力

  化的挖矿程序生成能力该项目提供高度可定制,间关系根据时,版本按相同配置生成挖矿程序new_game。exe我们取SilentXMRMiner v1。4。4,exe进行对比和game。:

  外此,项目代码通过查看,host64进程为守护进程确定样本分析中提到的si,常时尝试恢复运行可在挖矿程序异。

  结果为一个新的序资源段数据解密,miner。dll文件名为game-,是exe但实际还。

  用xmrig时该恶意程序使,贡献给xmrig项目默认会将算力的1%,感平台监测到相关域名即态的

  r。exe大小为672Mgamelaunche,8。42M压缩后仅。发现有效内容很少使用工具查看时,d后添加了大量的空字节因其实际Payloa。

  er进程的挖矿程序被加壳g。 写入explor,行调试单独运,dump并修复导入表使用Scylla ,看main函数使用IDA可查。

  期近,器发起过对挖矿域名(的解析请求新华三态势感知平台监测到某机,异常事件后客户在发现,毒软件进行全盘扫描启动中毒机器上的杀,挖矿木马未检出,户的疑问带着客,验室即刻介入分析新华三安全攻防实。

  密挖矿参数e。 解,压缩包中的exe文件解密资源段数据并提取,er进程并注入恶意代码执开始创建新explor行

  xe进程的命令行d。遍历所有e,经开始挖矿判断是否已,有相应参数如果已经,接退则直出

  关联可以确定通过以上对比,目生成的程序基础上虚灵矿工正是在该项,加空字节的操作进行了加壳和附。

  验证经,内外主流杀毒软件的查杀该样本的确能躲避多款国,的深入分析通过对样本,大量空字节、使自身大小达到百MB级别我们发现该挖矿木马在文件末尾附加了,箱检测逃逸的目的从而达到杀软和沙。马的这个特点根据该挖矿木,名为虚灵矿工我们将其命。

  大小为8。35 MB (8去除空字节填充之后的文件,597, 字节)474,块信息查看区,emida加壳初步确认为Th。

  inRing0x64。sys一致证书也和下载的xmrig包含的W,比结构完全相同使用IDA对。

分享: