教你检测门罗币挖矿木马

MS016小组（原创）

前言：

随着比特币的成功，越来越多的山寨币开始模仿.

因为有些人，在比特币刚开始的时候，感觉不靠谱 错失了挣钱的良机.

所以现在很多人后悔了 ， 就开始寄托于别的币  ， 所以有些人投入机器挖矿.

而黑客呢 掌握技术 也等同于掌握机器！也不是所有机器都能挖矿的 ，

当然以黑客的视角去思考问题，一般的黑客都是通过.

这里有张流程图 ，根据爆出来的已知漏洞 而且危害很高的 比如ST – 045 

等等 ， 而且像苹果系统mac os 也能挖矿  linux挖矿比window挖矿更加稳定，

我讲的是门罗币，  还有检测的话方法也是检查Windows系统.

 

说完系统当然是讲挖矿的配置，

一般黑客入侵完服务器后植入的挖矿木马，都是以静默包的 形式 运行.

 

什么是静默包 百度的

静默安装指是在后台运行 自动安装，安装时无需任何用户干预，直接按默认设置安装。

静默安装的过程是看不到的(隐藏安装,看不见的)。运行了就在后台安装，隐藏了非可视化。

静默包一般是在软件捆绑以及预装推荐等类型上，这样可以实现很多用户勾选选择推荐安装的软件后，可以自动化的安装。

 

也许有些挖矿木马，  有这一项功能 就是检测显卡 CPU挖矿.

如果显卡满足条件就挖显卡， 如果没显卡就利用CPU挖矿.

但是现在很多服务器都是不会有显卡的  ，基本黑客拿完服务器利用CPU挖矿.

显卡卖的很贵现在 服务器上出现基本是很少  ，显卡类型有N卡 和A卡 .

所以二种显卡也需要区分去使用，说完了黑客基本攻击流程 所以开始讲怎么检测了.

 

如果你是运维人员，  发现自己服务器非常卡 ，运行缓慢八成被植入了挖矿木马 .

 

1.第一时间分析系统是不是存在什么漏洞，而且你不需要当心被零日漏洞攻击  ！   大多数都是已知漏洞 或者爆破工具，拿下的服务器 ，所以可以去查询最近相关爆出的危害教大的漏洞 ，而且和自己服务器使用的一些组件 有关的。

 

2.第二就是查找挖矿木马 ，找挖矿木马钱包地址.

可以讲一下案例 ，为了获取样本分析 使用了tomcat 和 java rmi 漏洞 扫描全球网络。

发现了很多被入侵的机器当然也获取了样本分析. 

 

这是在被黑服务器提取的挖矿木马  用哈勃 动态分析 一下 运行会有那些行为特征

 

创建文件csrss.exe 文件  ，csrss.exe  文件是Windows系统核心进程  ，也是被木马经常利用的进程

而且木马有守护进程  结束的话系统会关机 或者挖矿木马自动恢复挖矿.

执行CmdShell命令 运行 挖矿程序，这段cmd命令就是调用挖矿程序csrss.exe文件 开始挖的.

Csrss.exe 文件就是门罗币挖矿程序 只是这个文件名定义成了 Csrss.

黑客钱包地址

46xzbEFicggME8PBfwPnwuHbtk2UQY6xmMjAs3MHvLEmSyTnBv3BQTdYZ5Nfw5qLGbZmvTH4rZMXZF6rYNjgfAABSm9FaYT

矿池地址   minexmr.com

在这个矿池查看 算力 和支付纪录 惊人！

 3.分析完 挖矿木马当然是 如果种了 挖矿木马怎么查杀，

刚才使用哈勃分析了木马 的行为特征，

然后使用杀毒软件查杀 ，看看是否杀毒软件把挖矿木马特征码加入了病毒库.

使用火绒查杀挖矿木马  并且免杀

然后利用在线检测  只有三种杀毒软件检测到了木马

打开运行挖矿木马 有杀毒软件也不一定能有效拦截，

而且随着研究 还有一些黑客  使用了不同的挖矿方法.

附上挖矿木马分析地址

哈勃 https://habo.qq.com/file/showdetail?pk=ADMGZ11oB2YIMFs7#file

virscan http://r.virscan.org/report/5497aaf5d4e3e0246f2e00f8e0495a97

　　感谢刀仔的技术支持