[Phân tích]Mã độc đào coin trên máy nạn nhân - COINMINE.NC

Thảo luận trong 'Virus/Malware' bắt đầu bởi Sugi_b3o, 15/11/17, 03:11 PM.

  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 258
    Đã được thích: 196
    Điểm thành tích:
    43
    Mình xin chia sẻ file thực thi có chứa mã độc để mọi người cùng nhau nghiên cứu, cập nhật thêm kiến thức về các loại mã độc dùng để đào Cryptocurrency.
    Hiện phân tích sơ thì mình có các thông tin sau tên là Photo.scr.
    [​IMG] [​IMG]
    Dùng strings để view tổng quan thì mình thấy có các đoạn
    Mã:
    -o stratum+tcp://mine.moneropool.com:3336 -t 1 -u 42n7TTpcpLe8yPPLxgh27xXSBWJnVu9bW8t7GuZXGWt74vryjew2D5EjSSvHBmxNhx8RezfYjv3J7W63bWS8fEgg6tct3yZ -p x
    Đây là pool và địa chỉ ví của đồng Monero
    Mã:
    NsCpuCNMiner32.exe
    Gọi chương trình để bắt đầu chương trình đào coin.
    Mã:
    /c reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Run" /d "%s" /t REG_SZ /f
    Ghi chương trình vào startup để khởi động cùng Windows sau khi restart
    Và cuối cùng là file: tải bên dưới
    Các bạn có thể phân tích thêm, cùng trao đổi thảo luận để hiểu rõ hơn về cách phòng chống và thảo luận cùng nhau.
    Password: virus
    Lưu ý: chỉ dùng cho mục đích học tập và nghiên cứu.
     

    Các file đính kèm:

    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. hide by himself

    hide by himself New Member

    Tham gia: 15/04/18, 02:04 PM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    file share làm gì có file thực thi chủ thớt ơi
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 258
    Đã được thích: 196
    Điểm thành tích:
    43
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan