设为首页收藏本站

 找回密码
 立即注册
HS2V主机综合交流论坛»论坛 主机综合交流 美国VPS综合讨论 剪貼板被劫持的背後 [附样本]
CeraNetworksBGVM服务器主机交流IP归属甄别会员请立即修改密码
返回列表 发新帖
查看: 22|回复: 3

剪貼板被劫持的背後 [附样本]

[复制链接]
橙影

5

主题

89

回帖

289

积分

中级会员

积分
289
发表于 2018-8-25 11:08:36 | 显示全部楼层 |阅读模式
今天正在做事情 然后发现剪贴板无**常运行 内容一直被劫持为 14mDqXm9SMM6cPQhzvchsbRbBBBBXEEve2
一开始以为是什么密文 后来发现格式不对 谷歌了一下发现这是个BTC地址

https://cryptotab.net/en/journal/?address=14mDqXm9SMM6cPQhzvchsbRbBBBBXEEve2
https://www.blockchain.com/btc/address/14mDqXm9SMM6cPQhzvchsbRbBBBBXEEve2

然后就觉得很不对劲 打开某绒的分析工具 在启动项发现了异常




搜了一下 Satoshibox 发现这是一个提供上传文件 付 BTC 下载 的平台
同时 https://analyze.intezer.com/#/analyses/b588072c-92b1-4548-82e3-4130abc7bc6c 说这个程序有矿工&勒索程序的基因

在 AppData 目录下有个 自动转发木马.exe 的易语言程序 (火绒和魔盾都查不出有毒)
https://analyze.intezer.com/#/analyses/edf8fb0a-486b-4883-b0c7-1e8aa36acb96 分析为矿工

解决方案:清理启动项 删除文件 排查可疑进程

附上样本 https://nofile.io/f/X6yNXFHR1OJ/Miner.7z

题外话:一台 i5-8500K 能挖出几个钱啊 想收个8086K了 有人带价出吗

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
回复

使用道具 举报

shiro

1

主题

198

回帖

471

积分

中级会员

积分
471
发表于 2018-8-25 11:15:18 | 显示全部楼层
易语言撑起中国外挂病毒半边天
回复

使用道具 举报

158189458

0

主题

49

回帖

112

积分

注册会员

积分
112
发表于 2018-8-25 11:35:59 | 显示全部楼层
卡巴斯基 秒杀
回复

使用道具 举报

huangfight

4

主题

786

回帖

2442

积分

金牌会员

积分
2442
发表于 2018-8-25 11:42:39 | 显示全部楼层
本帖最后由 huangfight 于 2018-8-25 12:08 编辑

去nicehash算就知道挖哪种算法价值高
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-5-21 02:36 , Processed in 0.046352 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表