一、起因
安装的一个软件需要再关闭杀毒软件的情况下才能安装,笔记本开机后cpu利用率飙升,很可能是中了木马。
任务管理器.jpg
二、排查
1.从任务管理器可以看到名为m6g.exe的进程占用了大量cpu资源,在c:\windows\temp目录找到m6g.exe,上传到VT,多个引擎标记了该木马为门罗币挖矿木马。
图片.png
2.使用安全工具来分析行为
process hacker查看到与m6g.exe通信的远端服务器ip,与大量的powershell进程。
110.172.100.87
121.9.244.196
图片.png
powershell.jpg
wireshark捕获通信流量包,过滤查看m6g.exe与服务端通信内容,查看到一些矿池信息。
图片.png
查看计划任务与WMI,在计划任务中发现多个随机命名的任务会执行poweshell脚本,从远端服务器下载挖矿木马到本地,火绒杀毒查杀m6g.exe文件后,ps1脚本又会从服务器下载m6g.exe到本地执行,然后火绒又查杀,这个过程一直持续着...
图片.png
图片.png
三、木马信息
1.下载服务器的URL地址
http://167.99.227.91
110.172.100.87
121.9.244.196
2.挖矿地址
t.awcna.com:443
t.awcna.com/x.js
down.ackng.com
3.钱包地址
记录有矿池地址和钱包地址的.json配置文件被我误删 ^ ^
有兴趣的大佬分析下
四、处理
删除执行powershell脚本的任务计划
使用火绒杀毒全盘查杀
(文章对门罗币挖矿木马的分析仅仅做基本处理,更高层次分析需要逆向m6g.exe,VT的样本hash:b45c98d40fd91c939e7f7bddd47d61f8ad99795d8dcd5265628558dfe335e989)
