Phân tích mã độc đào coin trên máy nạn nhân - COINMINE.NC

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
316
446 bài viết
Phân tích mã độc đào coin trên máy nạn nhân - COINMINE.NC
Mình xin chia sẻ file thực thi có chứa mã độc để mọi người cùng nhau nghiên cứu, cập nhật thêm kiến thức về các loại mã độc dùng để đào Cryptocurrency.

1700121075880.png

Hiện phân tích sơ thì mình có các thông tin sau tên là Photo.scr.

1700120997576.png

Dùng strings để view tổng quan thì mình thấy có các đoạn
Mã:
-o stratum+tcp://mine.moneropool.com:3336 -t 1 -u 42n7TTpcpLe8yPPLxgh27xXSBWJnVu9bW8t7GuZXGWt74vryjew2D5EjSSvHBmxNhx8RezfYjv3J7W63bWS8fEgg6tct3yZ -p x

Đây là pool và địa chỉ ví của đồng Monero

Mã:
NsCpuCNMiner32.exe

Gọi chương trình để bắt đầu chương trình đào coin.

Mã:
/c reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Run" /d "%s" /t REG_SZ /f

Ghi chương trình vào startup để khởi động cùng Windows sau khi restart

Và cuối cùng là file: tải bên dưới

Các bạn có thể phân tích thêm, cùng trao đổi thảo luận để hiểu rõ hơn về cách phòng chống và thảo luận cùng nhau.

Password: virus

Lưu ý: chỉ dùng cho mục đích học tập và nghiên cứu.
 
Chỉnh sửa lần cuối bởi người điều hành:
file share làm gì có file thực thi chủ thớt ơi
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
coinmine tiền điện tử virus đào tiền
Bên trên