欧美一区激情在线观看_午夜亚洲中文电影_老人看护网站av_青青草成人影视_自拍小视频在线看男人日韩_国产很爽的超薄丝袜脚交视频_久久影院亚洲理论_熟妇高潮一区二区高潮_国产清纯91在线系列_国产精品www嫩草桃花岛

近期，火絨威脅情報(bào)中心監(jiān)測(cè)到 XMRig 挖礦病毒正在通過(guò)破解軟件進(jìn)行傳播，該破解軟件下載鏈接由 CSDN 用戶(hù)在其發(fā)布的文章中提供。破解軟件中的腳本可以進(jìn)行創(chuàng)建計(jì)劃任務(wù)、檢查 CPU 數(shù)量與修改挖礦線程數(shù)等操作，最終執(zhí)行 XMRig 挖礦病毒進(jìn)行挖礦。目前，火絨安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺。同時(shí)，我們希望廣大用戶(hù)能夠提高警惕，不要輕易下載和運(yùn)行來(lái)源不明的文件，不要輕信部分軟件分享內(nèi)容中提供的關(guān)閉殺毒軟件等建議，并通過(guò)官方正規(guī)渠道下載使用正版軟件，以防企業(yè)或個(gè)人信息泄露以及避免財(cái)產(chǎn)損失。

查殺圖

該樣本執(zhí)行流程圖如下所示：

流程圖

火絨工程師對(duì)樣本的分析過(guò)程中，發(fā)現(xiàn) CSDN 用戶(hù)在其發(fā)布的文章中不僅提供了該破解軟件的下載鏈接，還添加了“部分殺軟會(huì)因該版本軟件未購(gòu)買(mǎi)簽名證書(shū)而阻止運(yùn)行，可通過(guò)將軟件目錄加入排除項(xiàng)或者信任區(qū)來(lái)解決?！钡摹坝亚樘嵝选?，誘導(dǎo)用戶(hù)將此破解版軟件添加信任。

破解軟件下載文章

此外，該用戶(hù)還發(fā)布了其他類(lèi)似的破解軟件分享文章，其中的軟件都含有挖礦病毒。

其他文章

• https://blog.csdn.net/SM2268XT2?type=blog # 名稱(chēng)為已注銷(xiāo)

• https://blog.csdn.net/Seika3092?type=blog

• https://blog.csdn.net/baobao__36?type=blog

• https://blog.csdn.net/smartyguy80?type=blog

• https://blog.csdn.net/2404_87139007?type=blog

• https://blog.csdn.net/2404_87213641?type=blog

• https://blog.csdn.net/YS9085N?type=blog

• https://blog.csdn.net/2403_87087630?type=blog

• https://blog.csdn.net/RTS5766DL?type=blog

• https://blog.csdn.net/2404_87210054?type=blog

• https://blog.csdn.net/2400_87157272?type=blog

• https://blog.csdn.net/SM2263XT?type=blog

• https://blog.csdn.net/yhnmj678?type=blog

• https://blog.csdn.net/2201_75554009?type=blog

• https://blog.csdn.net/2401_85381299?type=blog

• https://blog.csdn.net/2304_76306332?type=blog

• https://blog.csdn.net/randkmr?type=blog

其中，最新發(fā)布的文章日期是 2024 年 12 月 27 日。

最新發(fā)布文章日期

最終經(jīng)過(guò)實(shí)際下載查看后，發(fā)現(xiàn)破解軟件中攜帶的挖礦病毒均指向同一礦池 104.168.101.23。

腳本文件頭

bat 文件亂碼

腳本功能：

1. 使用管理員模式重新打開(kāi)該腳本。
2. 通過(guò)修改注冊(cè)表鍵值以實(shí)現(xiàn)禁用用戶(hù)賬戶(hù)控制（UAC）的目的。其具體操作是將 ConsentPromptBehaviorAdmin、EnableLUA 和 PromptOnSecureDesktop 設(shè)置為 0。
3. 使用 attrib +s +h 命令將 EverEdit.exe 的文件屬性設(shè)置為系統(tǒng)和隱藏屬性。
4. 執(zhí)行 add.ps1 腳本，執(zhí)行的命令為 Add-MpPreference -ExclusionPath ($pwd).Path。其功能是將當(dāng)前目錄添加到 Windows Defender 的白名單中。
5. 通過(guò)遍歷目錄并統(tǒng)計(jì)文件數(shù)量的方式驗(yàn)證文件完整性：若文件總數(shù)為 5，則正常執(zhí)行 EverEdit.exe；若文件數(shù)量異常，則提示用戶(hù)檢查殺毒軟件隔離區(qū)并恢復(fù)文件，或關(guān)閉殺毒軟件后重新解壓運(yùn)行程序。
6. 利用 wmic 獲取 CPU 核心數(shù)，并將 CrashReporting.bat 中挖礦程序的線程數(shù)修改為 CPU 核心數(shù) / 2，以降低其 CPU 占用率。
7. 創(chuàng)建計(jì)劃任務(wù)，在用戶(hù)登錄時(shí)延遲 5 分鐘運(yùn)行批處理文件 CrashReporting.bat 。

8. 執(zhí)行 CrashReporting.bat 文件。

start_everEdit.bat

使用戶(hù)添加信任區(qū)或關(guān)閉殺軟

計(jì)劃任務(wù)

該腳本在執(zhí)行 CrashReporting.bat 文件的過(guò)程中，會(huì)運(yùn)行 XMRig 挖礦程序 EverEdit_license.exe 。該挖礦程序指向的礦池 IP 為 104.168.101.23， -B 表示后臺(tái)執(zhí)行， -t 表示線程數(shù)。其中，線程數(shù) -t 會(huì)按照 CPU 核心數(shù)的情況作出相應(yīng)修改，如果 CPU 核心數(shù)為 2，線程數(shù)就會(huì)被設(shè)置為 1。

CrashReporting.bat

在實(shí)際運(yùn)行該病毒后發(fā)現(xiàn)無(wú)法連接到礦池。通過(guò)進(jìn)行多地 ping 測(cè)試，發(fā)現(xiàn)黑龍江和北京地區(qū)連接礦池時(shí)出現(xiàn)超時(shí)現(xiàn)象。

ping 圖

下圖為去掉 -B 參數(shù)后顯示的內(nèi)容。從其中 new job 一行的日志中可以看到，病毒運(yùn)行所采用的算法是 algo rx/0 ，該算法在 xmrig 文檔中記錄為門(mén)羅幣，由此可以推斷該私人礦池正在挖取門(mén)羅幣。

挖礦病毒運(yùn)行圖

門(mén)羅幣判斷

CPU 占用率提高