先分析一下Photo.scr这个文件,这个文件是一个PE文件,母体没有加任何的壳,可以直接分析。这个程序的资源段附带了一个被vmp加壳的程序,该附加程序为挖矿程序。先分析母体,嗯,已经基本被各大引擎识别了。

构建一个访问网址

打开恶意网址,读取数据,并且检验文件大小是否位0x800字节

访问失败次数小于900次则继续访问

该网址下载了的是矿机的配置文件

该网址下载的是矿机的配置文件,以下检查配置矿机配置文件内容是否正确

如果检查通过,则继续通过一系列的字符串拼接,最终构成可用的挖矿程序参数

接下来,该母体会通过自身资源释放挖矿程序放在用户的%temp%目录下

创建挖矿程序

我们可以看到生成的挖矿程序

执行挖矿程序

挖矿程序使用了vmp加壳的,所以有检测虚拟机和调试器

接下来会将该母体内置的矿池地址写到%temp%\pools.txt

通过添加HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run实现开机自启动

将母体文件拷贝到各个磁盘根目录

接下来该程序会创建很多的线程,通过内置的用户名和密码来爆破ftp,使用ftp来实现自己的传播,将ftp上每个文件夹都上传母体文件

内置的用户名和密码

并且该程序还会搜索该ftp上的所有文件,检索.php. .html. .asp等常见的web文件,嵌入自己的一个iframe标签,实现通过被攻击用户的web服务下载,增加传染率。

最后,将成功的ftp的用户名,密码,系统等信息上传

 

总结

这个程序在传播模块这里主要关注通过在用户的web页面中嵌入传播标签,实现更大效率的传播。其他的也没什么了。

 

矿池地址

42n7TTpcpLe8yPPLxgh27xXSBWJnVu9bW8t7GuZXGWt74vryjew2D5EjSSvHBmxNhx8RezfYjv3J7W63bWS8fEgg6tct3yZ

 

IOC

Photo.src md5: aba2d86ed17f587eb6d57e6c75f64f05

NsCpuCNMiner32.exe3afeb8e9af02a33ff71bf2f6751cae3a

源链接

Hacking more

...