H2Miner病毒预警:幼心病毒邮件拖垮你的电脑

时间:2022-05-21 08:09:50来源:od体育网页版 作者:od体育网页版登录

  攻击者操纵缺点入侵Windows平台和Linux平台。正在Windows平台中,失陷主机下载并推行wbw.xml的XML文献,正在XML文献中推行一段PowerShell下令,下载名为1.ps1的剧本,该剧本下载挖矿次第以及挖矿的设备文献并重定名推行,创筑筹划义务每30分钟推行一次1.ps1剧本,完毕悠久化长久驻留失陷主机。

  正在Linux平台中,失陷主机下载并推行名为wb.xml的XML文献,该XML文献操纵同样的本事内嵌了一段bash剧本,推行后下载挖矿剧本,重要成效搜罗消除竞品挖矿次第和筹划义务、MD5校验、卸载安闲软件和下载Kinsing恶意软件并推行等。Kinsing恶意软件不光拥有挖矿成效,还会正在失陷主机上怒放后门以及masscan端口扫描等成效,结合C2效劳器上传版本号、内核数目、内存新闻、操作体例新闻、是否获取Root 权限和Uuid等新闻,并会下载后续剧本举办横向搬动等。

  正在Windows平台中,攻击者向受害主机发送一个构造好的数据包,将该数据包中的可推行代码一面架设正在长途效劳器的XML文献中,当缺点操纵获胜后,受害主机就会访候攻击者架设长途效劳器的XML文献,并解析推行。

  Linux平台撒布与Windows平台撒布途径相似,同样向受害主机发送构造好的数据包,将该数据包中的可推行代码一面架设正在长途效劳器的XML文献中,当缺点操纵获胜后,受害主机就会访候攻击者架设长途效劳器的XML文献,并解析推行。

  界说门罗币挖矿次第所在和设备文献的下载途径以及生存途径和挖矿次第名等新闻:

  样本推行后,会正在tmp目次下创筑名为kdevtmpfsi的挖矿次第并推行。

  创筑名为firewire.sh的剧本文献,该剧本文献中内置了一个MD5哈希值,该哈希值体味证,为masscan扫描器。masscan是一个高机能的端口扫描器,它的成效仿佛于nmap器械。

  恶意软件通过HTTP与C2效劳器举办通讯,失陷主时机哀求发送体例形态和体例资源信。