首页 > 其他分享 >【挖矿病毒】简单逆向分析

【挖矿病毒】简单逆向分析

时间:2024-08-29 17:08:15浏览次数:8  
标签:逆向 exe 文件 注册表 挖矿 reg 病毒

在虚拟机中执行explorer.exe后, 它会在 /Windows/Fonts/ 目录中释放恶意文件,包括主加密挖掘程序文件、包含启动挖掘过程的恶意命令的批处理文件以及两个注册表文件,其注册表子项和值稍后将被插入到系统注册表使用regedit.exe。

释放的恶意文件包括:

svchost.exe

1.bat

server.reg

restart.reg

然后它生成Windows命令解释器来执行批处理文件, 如图:

同时,它还运行attrib命令,将整个%fonts%目录的属性设置为只读(+r)和存档(+a),如图:

与此同时,1.bat文件包含以下命令:

该命令安装并运行一个加密货币挖矿程序,使用指定的挖矿池地址、端口和xmr钱包地址。然后,它使用regedit.exe安装两个.reg文件的内容到系统注册表中。接下来,它删除这些注册表文件,并继续更改多个组件文件的属性。如图:

以上是对该挖矿病毒程序的简单逆向分析, 如果要进行更高级的逆向分析, 甚至可以还原出病毒的关键加密算法或源码, 感兴趣的可以参考这篇文章:国外某地图APP坐标系加解密算法还原

标签:逆向,exe,文件,注册表,挖矿,reg,病毒
From: https://www.cnblogs.com/o-O-oO/p/18387041

相关文章

  • 【挖矿病毒】与黑产的关联
    挖矿病毒与黑产之间存在密切的关联。黑产是指非法的、以盈利为目的的互联网犯罪活动,而挖矿病毒通常是黑产活动的一部分。通常挖矿病毒与以下几个黑产活动有关:加密货币盈利:挖矿病毒的主要目的是利用受感染的计算机资源来挖取加密货币,如比特币、以太坊等。这些加密货币可以用于非......
  • 【挖矿病毒】介绍
    挖矿病毒是一种恶意软件,它会感染计算机系统,并利用系统资源(如CPU或GPU)来进行加密货币挖矿,而不经用户许可。这种病毒会使计算机变得缓慢,并可能导致系统崩溃或其他问题。挖矿病毒通常会隐藏在下载的文件、恶意链接或被感染的软件中,并在用户不知情的情况下运行。一旦感染了计算机系......
  • 【挖矿病毒】防御
    挖矿病毒防御必须要结合规章制度和技术双结合的方式来进行,具体包括:安全意识培训:必须定期进行安全意识培训,否则再好的安全产品也是白搭。安全软件和防病毒软件:使用更新的安全软件和防病毒软件可以帮助检测和清除挖矿病毒。确保安全软件的病毒库和特征库处于最新状态,以提高......
  • 逆向学习随笔——VKD建立双机调试
    传统步骤请参照:https://cloud.tencent.com/developer/article/2195968  使用VirtualKD工具迅速建立双机调试环境:进入VMware虚拟机(版本越新越好,16支持安装Windows10,17及以上支持安装Windows11)安装Windows10或者Windows11虚拟机,根据操作系统安装指引完成OOBE并进入桌面。......
  • 【JS逆向百例】携某 testab 参数补环境详解
    声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作......
  • 基于SpringBoot+Vue+uniapp的安康学院新型冠状病毒肺炎疫情防控专题网站的详细设计和
    文章目录前言详细视频演示具体实现截图技术栈后端框架SpringBoot前端框架Vue持久层框架MyBaitsPlus系统测试系统测试目的系统功能测试系统测试结论为什么选择我代码参考数据库参考源码获取前言......
  • 【软件逆向】第11课,软件逆向安全工程师之windows API函数,每天5分钟学习逆向吧!
    资料获取关注作者,备注课程编号,获取本课配套课件和工具程序。干货开始-windowsAPI函数。微软官方提供的应用程序接口,是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件提供的能力。地址:https://learn.microsoft.com/zh-cn/windows/win32/dlgbox/dialo......
  • C++ (病毒代码) (3)
    所有都可以,亲自尝试   第2个不要怕,只会关机!一切都可以用  ALT+F4  结束运行窗口即可解决!!! 1.鼠标乱飞 #include<windows.h>#include<ctime>usingnamespacestd;intmain(){   Sleep(1000);   intx=GetSystemMetrics(SM_CXSCREEN);   ......
  • js逆向学习
    目前本人大三下,想要学习js逆向同学的可以联系我:[email protected]上面是本人做的一些比较复杂的项目,还有很多简单的项目,这里给出图片。还有一些简单的js逆向。教你各种补充环境,各种js算法,教你各种底层的js库,webpack打包,bable的es6转es6原理,异步转同步代码之后如何代码定......
  • Android逆向(七) 解密COCOS游戏lua脚本-第1篇
    目录一、系统环境二、详细分析前言:1.lua脚本是什么?2.为什么游戏开发要用lua脚本?正文:获取Lua脚本的几种方法:1.直接在assets目录提取2.在luaL_loadbuffer函数处获取3.在底层的reader函数处获取1.静态分析2.动态分析一、系统环境OS:Windows_NTx6410.0......