|
|
今天正在做事情 然后发现剪贴板无**常运行 内容一直被劫持为 14mDqXm9SMM6cPQhzvchsbRbBBBBXEEve2
一开始以为是什么密文 后来发现格式不对 谷歌了一下发现这是个BTC地址
https://cryptotab.net/en/journal/?address=14mDqXm9SMM6cPQhzvchsbRbBBBBXEEve2
https://www.blockchain.com/btc/address/14mDqXm9SMM6cPQhzvchsbRbBBBBXEEve2
然后就觉得很不对劲 打开某绒的分析工具 在启动项发现了异常
搜了一下 Satoshibox 发现这是一个提供上传文件 付 BTC 下载 的平台
同时 https://analyze.intezer.com/#/analyses/b588072c-92b1-4548-82e3-4130abc7bc6c 说这个程序有矿工&勒索程序的基因
在 AppData 目录下有个 自动转发木马.exe 的易语言程序 (火绒和魔盾都查不出有毒)
https://analyze.intezer.com/#/analyses/edf8fb0a-486b-4883-b0c7-1e8aa36acb96 分析为矿工
解决方案:清理启动项 删除文件 排查可疑进程
附上样本 https://nofile.io/f/X6yNXFHR1OJ/Miner.7z
题外话:一台 i5-8500K 能挖出几个钱啊 想收个8086K了 有人带价出吗 |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
发表于 2018-8-25 11:08:36
关注公众号