我差点被挖矿了 - 分析某公众号分享软件自带挖矿程序
淡香羽季
编辑于 2021年05月18日 01:44

事情起因

事情是这样的,最近出上映了《名侦探柯南:绯色的子弹》,我就在想网上有没有资源,随便百度了一下发现应该是没有的。就在这时,我的手机显示有新的消息,打开微信一看,是一个软件分享公众号发布了新文章,分享一个磁力链搜索工具,因为我知道很多隐秘资源都通过磁力链分享,我就想着试试能不能搜到。

当我下载完压缩包并开始解压时。我的火绒报毒了

因为火绒对一些破解软件误报率比较高,一开始我并没有在意,但是我注意到了一个细节,这个软件启动居然要2步?

这明显很不合理,于是我将报毒程序上传到了多引擎病毒检测网站 VirusTotal(https://www.virustotal.com)有意思,居然有一半都没通过

报毒文件分析报告

然后我查看了关于这个程序的社区分析报告https://www.joesandbox.com/analysis/352816/0/html

好家伙,NB矿工挖矿程序几个字足以说明一切,MD5、sha1等值也对得上,是挖矿程序无疑了。

报毒文件分析

分析

程序启动入口在哪?

我从两个方面下手,一个是报毒文件、一个是可疑的2个步骤启动

1.报毒文件

我先找到了报毒文件所在目录,在 解压目录->data文件夹里,

可以看到WindowsHL.exe.sha256WindowsHL.exe两个文件与报毒的文件有关,SHA256文件储存的应该就是WindowsHL这个应用程序的sha256信息(可以理解为一个文件的绝对唯一识别码),用记事本打开一看,还真叫nbminer.exe

还有一个可疑的批处理文件(双击就能运行指定代码):WindowsBac.bat  这个等会再看

2.回到解压目录

在2个步骤中,第一步最可疑,因为他是vbs文件(基于Visual Basic的脚本语言,同样双击就能运行代码

右键以记事本打开

vbs文件内容

管理员模式运行、将“\data\driver_install.bat”这个文件复制到:“C:\Windows\”系统目录运行,再删掉。其他之前分析过的文件也是同样的操作

vbs文件内容

右键->编辑打开所谓的“驱动安装”:driver_install.bat

主要语句就是 : nbminer --driver install

没错,是安装驱动,只不过是挖矿程序(nbminer)的驱动,看来之前的vbs程序是将挖矿有关程序的路径保留下来,然后根据sha256文件里储存的 nbminer 文件名 将 用于伪装WindowsHL.exe 改名为 nbminer.exe猜测是这样能骗过 查看了 “第一步 连接服务器 .vbs”这个文件代码的人,没有可疑信息)跳过driver_uninstall.bat,接下来看modify_tdr_delay.reg文件,修改注册表信息,简单说就是让你的显卡拼命工作(挖矿靠显卡),减少休息时间

注册表修改文件

最后到了重头戏:WindowsBac.bat

挖矿程序启动脚本

启动挖矿程序->链接矿池->设置钱包。一气呵成

打开beepool.org(https://www.beepool.com/)发现是一个叫蜜蜂矿池的首页 ,这个挖矿程序挖的是RVN币

查看一下这个钱包的收益: https://www.beepool.com/rvn/RGhPYYvh7Ebc3PYeyTiotTEyWEcRoQAk3X

挖矿程序钱包收益

已经骗了814人 总收益5830.73483 RVN 换算过来 7 096.75 人民币

后记

最近挖矿的是越来越多了,在巨大的利益下总有人被蒙蔽了双眼,干出这种事来,白嫖他人的电脑与电力,在你不知道的时候利用你的电脑帮他赚钱

这类挖矿程序是属于最简单的一种,属于外部植入式。只要跳过第一步,把挖矿程序删了就没事了,原来的程序一样可以运行。

由于本人不是专业人士(有错请不吝赐教),也只能看到这,如果是更高级的挖矿病毒没准就中招了,想想就后怕。肯定有更难发现,更流氓的挖矿病毒存在,请各位小心对待。

对于不少不懂电脑的朋友,下载东西时请绝对要相信你的杀毒软件宁可信其有不可信其无,不要为了蝇头小利而将自己置于风险之中。如果你的电脑总是无端GPU跑满,那么就得注意了。

注:本文由我自己的博客:https://www.iseason.top/bearminer/ 修改而来,2篇文章的作者是同一人(本up),封面图来着网络,如侵犯您的权益,请联系我第一时间删除。