最新国产福利在线_午夜国产日韩欧美一区_国产精品青青在线观看爽_日本免费自拍亚洲_亚洲第一无码在线观看_色噜噜狠狠爱综合视频_亚洲av免费观看在新更新_久久久免费观成人影院_别揉我奶头~嗯~啊~少妇视频_福利视频一区二区牛牛

近期，火絨威脅情報(bào)中心監(jiān)測(cè)到 XMRig 挖礦病毒正在通過破解軟件進(jìn)行傳播，該破解軟件下載鏈接由 CSDN 用戶在其發(fā)布的文章中提供。破解軟件中的腳本可以進(jìn)行創(chuàng)建計(jì)劃任務(wù)、檢查 CPU 數(shù)量與修改挖礦線程數(shù)等操作，最終執(zhí)行 XMRig 挖礦病毒進(jìn)行挖礦。目前，火絨安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺。同時(shí)，我們希望廣大用戶能夠提高警惕，不要輕易下載和運(yùn)行來源不明的文件，不要輕信部分軟件分享內(nèi)容中提供的關(guān)閉殺毒軟件等建議，并通過官方正規(guī)渠道下載使用正版軟件，以防企業(yè)或個(gè)人信息泄露以及避免財(cái)產(chǎn)損失。

查殺圖

該樣本執(zhí)行流程圖如下所示：

流程圖

火絨工程師對(duì)樣本的分析過程中，發(fā)現(xiàn) CSDN 用戶在其發(fā)布的文章中不僅提供了該破解軟件的下載鏈接，還添加了“部分殺軟會(huì)因該版本軟件未購(gòu)買簽名證書而阻止運(yùn)行，可通過將軟件目錄加入排除項(xiàng)或者信任區(qū)來解決?！钡摹坝亚樘嵝选?，誘導(dǎo)用戶將此破解版軟件添加信任。

破解軟件下載文章

此外，該用戶還發(fā)布了其他類似的破解軟件分享文章，其中的軟件都含有挖礦病毒。

其他文章

• https://blog.csdn.net/SM2268XT2?type=blog # 名稱為已注銷

• https://blog.csdn.net/Seika3092?type=blog

• https://blog.csdn.net/baobao__36?type=blog

• https://blog.csdn.net/smartyguy80?type=blog

• https://blog.csdn.net/2404_87139007?type=blog

• https://blog.csdn.net/2404_87213641?type=blog

• https://blog.csdn.net/YS9085N?type=blog

• https://blog.csdn.net/2403_87087630?type=blog

• https://blog.csdn.net/RTS5766DL?type=blog

• https://blog.csdn.net/2404_87210054?type=blog

• https://blog.csdn.net/2400_87157272?type=blog

• https://blog.csdn.net/SM2263XT?type=blog

• https://blog.csdn.net/yhnmj678?type=blog

• https://blog.csdn.net/2201_75554009?type=blog

• https://blog.csdn.net/2401_85381299?type=blog

• https://blog.csdn.net/2304_76306332?type=blog

• https://blog.csdn.net/randkmr?type=blog

其中，最新發(fā)布的文章日期是 2024 年 12 月 27 日。

最新發(fā)布文章日期

最終經(jīng)過實(shí)際下載查看后，發(fā)現(xiàn)破解軟件中攜帶的挖礦病毒均指向同一礦池 104.168.101.23。

腳本文件頭

bat 文件亂碼

腳本功能：

1. 使用管理員模式重新打開該腳本。
2. 通過修改注冊(cè)表鍵值以實(shí)現(xiàn)禁用用戶賬戶控制（UAC）的目的。其具體操作是將 ConsentPromptBehaviorAdmin、EnableLUA 和 PromptOnSecureDesktop 設(shè)置為 0。
3. 使用 attrib +s +h 命令將 EverEdit.exe 的文件屬性設(shè)置為系統(tǒng)和隱藏屬性。
4. 執(zhí)行 add.ps1 腳本，執(zhí)行的命令為 Add-MpPreference -ExclusionPath ($pwd).Path。其功能是將當(dāng)前目錄添加到 Windows Defender 的白名單中。
5. 通過遍歷目錄并統(tǒng)計(jì)文件數(shù)量的方式驗(yàn)證文件完整性：若文件總數(shù)為 5，則正常執(zhí)行 EverEdit.exe；若文件數(shù)量異常，則提示用戶檢查殺毒軟件隔離區(qū)并恢復(fù)文件，或關(guān)閉殺毒軟件后重新解壓運(yùn)行程序。
6. 利用 wmic 獲取 CPU 核心數(shù)，并將 CrashReporting.bat 中挖礦程序的線程數(shù)修改為 CPU 核心數(shù) / 2，以降低其 CPU 占用率。
7. 創(chuàng)建計(jì)劃任務(wù)，在用戶登錄時(shí)延遲 5 分鐘運(yùn)行批處理文件 CrashReporting.bat 。

8. 執(zhí)行 CrashReporting.bat 文件。

start_everEdit.bat

使用戶添加信任區(qū)或關(guān)閉殺軟

計(jì)劃任務(wù)

該腳本在執(zhí)行 CrashReporting.bat 文件的過程中，會(huì)運(yùn)行 XMRig 挖礦程序 EverEdit_license.exe 。該挖礦程序指向的礦池 IP 為 104.168.101.23， -B 表示后臺(tái)執(zhí)行， -t 表示線程數(shù)。其中，線程數(shù) -t 會(huì)按照 CPU 核心數(shù)的情況作出相應(yīng)修改，如果 CPU 核心數(shù)為 2，線程數(shù)就會(huì)被設(shè)置為 1。

CrashReporting.bat

在實(shí)際運(yùn)行該病毒后發(fā)現(xiàn)無法連接到礦池。通過進(jìn)行多地 ping 測(cè)試，發(fā)現(xiàn)黑龍江和北京地區(qū)連接礦池時(shí)出現(xiàn)超時(shí)現(xiàn)象。

ping 圖

下圖為去掉 -B 參數(shù)后顯示的內(nèi)容。從其中 new job 一行的日志中可以看到，病毒運(yùn)行所采用的算法是 algo rx/0 ，該算法在 xmrig 文檔中記錄為門羅幣，由此可以推斷該私人礦池正在挖取門羅幣。

挖礦病毒運(yùn)行圖

門羅幣判斷

CPU 占用率提高