wanacry变种-挖矿

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了wanacry变种-挖矿相关的知识,希望对你有一定的参考价值。

整理来自:

(1)WannaMine来了?警惕“永恒之蓝”挖矿长期潜伏
http://www.freebuf.com/articles/network/164869.html
(2)NrsMiner:一个构造精密的挖矿僵尸网络
http://www.freebuf.com/articles/system/162874.html

(一)WannaMine

病毒文件:
hash/hash64:为32位/64位挖矿程序,会被重命名为TrueServiceHost.exe。
spoolsv/spoolsv64:为32位/64位攻击母体,会被重命名为spoolsv.exe。
srv/srv64:为32位/64位为主服务,攻击入口点,会被重命名为tpmagentservice.dll。

本文所述病毒文件,释放在下列文件目录中
C:\Windows\System32\MsraReportDataCache32.tlb
C:\Windows\SecureBootThemes\
C:\Windows\SecureBootThemes\Microsoft\
C:\Windows\SecureBootThemes\Crypt\

注册服务:srv。 主服务文件:tpmagentservice.dll

外网链接:
hxxp://acs.njaavfxcgk3.club:4431/f79e53
hxxp://rer.njaavfxcgk3.club:4433/a4c80e
hxxp://rer.njaavfxcgk3.club:4433/5b8c1d
hxxp://rer.njaavfxcgk3.club:4433/d0a01e

日志文件:stage1.txt。
日志文件:stage2.txt
DoublePulsar后门程序spoolsv.exe的配置文件:spoolsv.xml

挖矿地址:nicehash.com、minergate.com

(二)NrsMiner

病毒更新包文件:NrsDataCache.tlb

(1)主控模块作为服务“Hyper-VAccess Protection Agent Service”,模块名:vmichapagentsrv.dll
该服务被加入netsvcs服务组中借助svchost.exe启动(找到注册表子健HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 并打开子健项netsvcs。netsvcs里面的值就是svchost的服务组netsvcs所启动的所有服务?)

(2)网络:vpp.jdi1diejs.club(打点)
dlr.noilwut0vv[.]club/d/msdownload/others/BtnProtocol.exe(模块更新)
log[.]oiwcvbnc2e.stream(模块更新)
hxxp://vpp.jdi1diejs.club/NrsDataCache.tlb
mg[.]jdi1diejs.club:45560(矿池)

(3)挖矿程序:hash,将其复制到system32或SysWOW64目录下命名为TaskSyncHost.exe并启动该程序进行挖矿。

(4)释放的WebServer绑定的端口为26397

存放NrsMiner组件的路径
路径
C:\Windows\IME
C:\windows\SysprepThemes
C:\windows\Sysnative
C:\windows\securebootthemes

永恒之蓝攻击文件夹:
?
技术分享图片

解决方案:

(1)打补丁ms17-010
(2)安装杀毒软件查杀。

以上是关于wanacry变种-挖矿的主要内容,如果未能解决你的问题,请参考以下文章

阿里云windows 2008 服务器处理挖矿程序 Miner

html 模板代码中的变种篮子项目

变种 Builder 模式:优雅的对象构建方式

.NET测试用例写的好不好?让变种来测试一下!

动态规划整数划分及其变种

01背包问题变种:从给定的N个正数中选取若干个数之和最接近M的JAVA写法