在虚拟机中执行explorer.exe后, 它会在 /Windows/Fonts/ 目录中释放恶意文件,包括主加密挖掘程序文件、包含启动挖掘过程的恶意命令的批处理文件以及两个注册表文件,其注册表子项和值稍后将被插入到系统注册表使用regedit.exe。
释放的恶意文件包括:
svchost.exe
1.bat
server.reg
restart.reg
然后它生成Windows命令解释器来执行批处理文件, 如图:
同时,它还运行attrib命令,将整个%fonts%目录的属性设置为只读(+r)和存档(+a),如图:
与此同时,1.bat文件包含以下命令:
该命令安装并运行一个加密货币挖矿程序,使用指定的挖矿池地址、端口和xmr钱包地址。然后,它使用regedit.exe安装两个.reg文件的内容到系统注册表中。接下来,它删除这些注册表文件,并继续更改多个组件文件的属性。如图:
以上是对该挖矿病毒程序的简单逆向分析, 如果要进行更高级的逆向分析, 甚至可以还原出病毒的关键加密算法或源码, 感兴趣的可以参考这篇文章:国外某地图APP坐标系加解密算法还原
标签:逆向,exe,文件,注册表,挖矿,reg,病毒 From: https://www.cnblogs.com/o-O-oO/p/18387041