阅读时间: 4 分钟
人们越来越多地使用电子货币(e-money)进行在线购买。 而且可以肯定的是,在第二天的夜晚,这意味着电子货币也在引起人们的关注。 恶意软件 试图以任何可能的方式从中受益的作者。 我们遇到了一个恶意样本,该样本的作用不是窃取而是使用比特币“矿池”(用于生成“比特币”的分布式计算网络)来生成(“挖掘”)数字货币。 攻击是通过在受害者计算机的网络上安装特洛伊木马程序来执行的,然后利用它们的处理能力生成比特币块。
那么什么是比特币?它如何工作? 嗯,与传统的货币不同,传统的货币是通过发行银行等中央机构生成的,而比特币则是根据需要通过分散的点对点网络节点或“矿工”动态生成的。 每个“矿工”都是一组专门用于处理比特币交易的计算机资源(有时只是一台普通计算机,例如台式机)。 一旦这些交易足够多,就将它们分组为一个“区块”,然后将该额外的交易区块添加到整个更大的比特币网络中维护的主“区块链”。 这里要注意的关键是,生成“块”的过程非常耗费硬件,并且需要大量的计算能力。 因此,作为自愿提供硬件的回报,设法生成区块的矿工将获得赏金比特币,并从该区块获得任何交易费用。 这种向矿工奖励的制度实际上也是增加比特币货币供应量的机制。
如前所述,产生一个区块的计算需求非常高,因此实体可以使用的处理能力越强,他们可以处理的交易就越多,并且他们易于接收的比特币就越多。 还有什么比他自己的僵尸PC网络无情地进行比特币交易更好的计算能力来源呢?
安装挖掘组件的木马大小为80KB,执行后会在内存中解密位于 .CODE 部分,大小为0xAA9400,位于0x00。 解密是一个简单的字节异或,其中有20个连续的字节密钥位于 .idata 部分。 安装步骤由新的解密的内存中过程完成,该过程将下载必要的组件,并且还包含挖掘参数(例如挖掘池的用户和密码凭据,均在资源中进行了加密)。
加密文件与UPX打包在一起。 文件中存在的重要资源:
它包含采矿池的运行参数和凭据(“ -t 2 -o http://user:password@server.com:port”。 -t参数代表用于计算的线程数。 -o参数指定要连接的服务器。
OTR2 – [7C 6E 6C 63 60 76 25 66 7F 68] –删除的挖掘文件的名称(socket.exe)
OTR8 – [7C 6E 6C 63 60 76 78 2D 62 75 60] –文件自动复制所依据的名称(sockets.exe)
OTR9 – [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] –解密已加密资源字符串的密钥(将用于解码存储为资源的字符串参数)
该文件将自身复制到 我的文档Windowssockets.exe 并执行复制。
执行后,它将下载以下文件:
– 142.0.36.34/u/main.txt –一个保存为“ socket.exe”的挖掘二进制文件,它似乎是对已知开源挖掘应用程序的修改。
– 142.0.36.34/u/m.txt –包含二进制PE十六进制值的纯文本文件将转换为“ miner.dll”,这是前者的依赖项。
– 142.0.36.34/u/usft_ext.txt –二进制文件,相关性另存为“ usft_ext.dll”。
– 142.0.36.34/u/phatk.txt –另存为“ phatk.ptx” – GPU的汇编指令,可用于高级计算。
– 142.0.36.34/u/phatk.cl –另存为“ phatk.cl” –设计用于GPU计算的源文件。
当所有下载完成且相关性就位时,将使用已解码的参数启动挖掘二进制文件,并开始进行计算以生成虚拟硬币。 如预期的那样,CPU使用率上升,使计算机处于高负载状态。
恶意二进制文件在完成计算周期后会与池服务器反复通信,并发送其计算结果–“虚拟硬币”。
滴管木马: Filename: sockets.exe SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda MD5: ba9c16fa419d24c3eadb74e016ad544f CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k 挖掘二进制文件: Filename: socket.exe SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce MD5: e82cd32fefb2f009c84c14cec1f13624 CIS detection name: Application.Win32.CoinMiner.b
- SEO 支持的内容和 PR 分发。 今天得到放大。
- PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
- 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
- 柏拉图ESG。 汽车/电动汽车, 碳, 清洁科技, 能源, 环境, 太阳能, 废物管理。 访问这里。
- 柏拉图健康。 生物技术和临床试验情报。 访问这里。
- 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
- 块偏移量。 现代化环境抵消所有权。 访问这里。
- Sumber: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/
- :具有
- :是
- :不是
- 20
- 225
- 25
- 2D
- 36
- 41
- 51
- 60
- 66
- 75
- 97
- a
- 关于
- 横过
- 通
- 添加
- 额外
- 地址
- 高级
- 所有类型
- 还
- an
- 和
- 任何
- 应用领域
- 保健
- AS
- At
- 攻击
- 关注我们
- 权威
- 作者
- 银行
- BE
- 很
- 作为
- 得益
- 更好
- 比特币
- 比特币网络
- 比特币交易
- 比特币
- 阻止
- 吹氣梢
- 博客
- 赏金
- 但是
- by
- 计算
- CAN
- 中央
- 中央
- CIS
- 点击
- 码
- 硬币
- COM的
- 完成
- 组件
- 计算能力
- 一台
- 电脑
- 计算
- 计算能力
- 分享链接
- 包含
- 资历
- 货币
- 周期
- 天
- 处理
- 处理
- 分散
- 需求
- 依赖
- 依赖
- 设计
- 通过电脑捐款
- 检测
- 数字
- 数字货币
- 分布
- 不
- 下载
- 下降
- 动态
- 电子货币
- 每
- 电子
- 加密
- 更多
- 实体
- 活动
- 执行
- 执行
- 执行
- 费用
- 文件
- 档
- 以下
- 如下
- 针对
- 自由的
- 止
- 获得
- 生成
- 产生
- 得到
- 特定
- Go
- GPU
- 图形处理器
- 发放
- 大
- 更大的
- 黑客
- 处理
- 硬件
- 有
- 相关信息
- HEX
- 高
- 他的
- 马
- 创新中心
- How To
- HTTP
- HTTPS
- 重要
- in
- 增加
- 安装
- 安装
- 即食类
- 说明
- 成
- 发行
- IT
- 它的
- 本身
- 只是
- 保持
- 键
- 键
- 已知
- 推出
- 喜欢
- 加载
- 位于
- 使
- 制作
- 恶意软件
- 管理
- 主
- MD5
- 手段
- 机制
- 内存
- 提到
- 矿工
- 采矿
- 采矿池
- 钱
- 资金供应
- 更多
- 姓名
- 必要
- 网络
- 全新
- 夜
- 节点
- nt
- 数
- of
- 经常
- on
- 一旦
- 一
- 在线
- 网上购买
- 开放源码
- or
- 输出
- 己
- 市盈率
- 包装
- 参数
- 参数
- 密码
- 个人电脑
- 对等
- 员工
- PHP
- 地方
- 朴素
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 池
- 可能
- 功率
- 都曾预测
- 当下
- 以前
- 过程
- 处理
- 处理能力
- 生产
- 曲目
- 购买
- 接收
- 定期
- 反复
- 必须
- 需要
- 资源
- 资源
- 成果
- 回报
- 揭示
- 奖励
- 奖励
- 升起
- 角色
- 运行
- 保存
- 记分卡
- 部分
- 保障
- 保安
- 似乎
- 提交
- 发送
- 集
- 简易
- 尺寸
- So
- 来源
- 源代码
- 看台
- 启动
- 步骤
- 存储
- 串
- 供应
- 肯定
- 系统
- 拍摄
- 文本
- 比
- 这
- 其
- 然后
- 那里。
- 博曼
- 他们
- 事
- Free Introduction
- 通过
- 次
- 至
- 传统
- 交易
- 交易费
- 交易
- 转化
- 木马
- 特洛伊木马
- 试图
- 下
- 不像
- 上
- 用法
- 使用
- 用过的
- 用户
- 运用
- 价值观
- 非常
- 受害者
- 在线会议
- we
- 井
- 什么是
- 什么是
- 什么是比特币
- ,尤其是
- 这
- WHO
- 谁的
- 将
- 工作
- 您一站式解决方案
- 和风网
- 僵尸