怀疑自己电脑被当矿机(如何判断电脑是否被挖矿)

挖矿木马的理论基础

由于区块链技术热炒以及数字货币魔性推广运营,如比特币、以太币、门罗币、达世币等层出不穷的数字货币被各种热炒,在这些的利益驱使下,便出现各种模式的挖矿木马程序。挖矿木马主要就是通过利用各种手段,将挖矿程序植入到用户的计算机中,在用户未感知到的情况下,偷偷利用用户的计算机进行执行挖矿功能,从而获取收益。

以下情况是用户中木马的高频事件

用户往往在不注意的时候,下载并运行来历不明的破解软件或不安全软件;

用户点击运行了钓鱼邮件中的附件的文件;

用户没有做好系统及时更新,通过系统漏洞传播;

用户浏览了植入挖矿脚本的网页,浏览器就解析脚本进行挖矿。

现在的挖矿木马存在种类非常多常见的如:普通开源的挖矿程序、无文件模式的挖矿程序、网页模式的挖矿程序、驱动模式的挖矿程序、Docker模式的挖矿程序。

自查挖矿木马

1、cpu的使用率,中了挖矿木马,因为会在系统中运行挖矿程序,使得计算机在正常运行下会变得非常卡顿,并且CPU的使用率会变得非常高,甚至会达到100%。

2、通过杀毒软件进行全盘查杀,如果计算机中存在挖矿木马的样本程序,杀毒软件一般情况下是可以查杀。

3、通过抓包工具(Wireshark)进行查看分析流量,从流量中去分析排查可疑的流量数据包。

样本基本信息

通过hash工具获取都挖矿木马样本的MD5、SHA1、CRC32数据。

该挖矿样本是控制台窗口的应用程序,通过ExeInfo PE工具中的区段信息,可以看出该样本采用了UPX压缩壳进行对样本保护,并且该样本程序是64位的应用程序。

通过火绒病毒查杀软件,进行扫描查杀该样本程序,可以从下图看到,该样本是属于Coinminer团伙研发的挖矿病毒样本程序。

木马功能分析

分析样本需要工具:虚拟机VMware、IDA、X64dbg、pchunter、WireShark等工具。

脱UPX压缩壳方法:单步调试法、内存访问断点法、堆栈平衡法。

通过单步调试法进行脱UPX壳,样本加载进x64dbg工具后,就单步F8方式,一直单步运行,通过观察程序的相对地址,直到跳转到原程序的OEP位置。那么再将内存数据dump下来就可以了。

样本的主要功能:通过循环遍历创建控制台文件,写入数据到文件,启动控制台文件。通过利用系统函数CreateFileW进行创建文件名称设置为7个字母的随机名称的文件,并通过WriteFile函数,将原始样本内数据拷贝到新创建的进程文件中,最后通过调用系统函数CreateProcessW函数进行启动样本。

下图是x64dbg调试工具中执行CreateFileW进行创建文件。

通过用拼接方式,生成的随机文件名称。

执行完一次流程后,已成功在指定的目录下成功地生成了应用程序。

通过调用WriteFile将数据写入到新创建的文件。

最后在通过调用CreateProcessW进行启动创建的应用程序。

执行完样本功能后,最终的效果如下图所示(仅列出小小部分运行程序,实际同时运行的几十上百个样本)。

通过拼接json格式,并以http协议方式进行发送数据。

从上面的json格式中,可以很清晰看到 访问请求的ip地址很端口号:3.120.98.217:8080。接下来反查这个ip地址信息,可以看到这个ip地址指向的是德国的。

在通过360威胁情报中心https://ti.360.cn/#/homepage。

进行更详细的查询这个ip地址相关的信息。从下图可以看到这个ip地址是属于Coinminer家族的 挖矿样本,并且查询到的相关联的样本也并不少。

木马的清理

通过将C:\Windows\system\目录下,所有随机名称的应用程序文件进行删除。就可以清除掉这个挖矿样本所遗留的应用程序。

预防和防护中的挖矿样本

1、在计算机中安装病毒查杀软件(火绒、360杀毒),并及时更新病毒查杀软件的病毒库,还需做好定时全盘查杀病毒。

2、及时做好计算机系统补丁的更新。

3、服务器、主机、数据库等使用高强度的密码口令,切勿使用弱口令,防止被暴力破解。

4、网络上不要去随意下载、运行来历不明的程序或者破解程序,不要随意点击来历不明的链接。

(0)

相关推荐

  • 为什么电脑关不了机怎么办(电脑关不了机是怎么解决)

    为什么电脑关不了机怎么办(电脑关不了机是怎么解决)

    想必很多人都遇到过电脑不能关机的问题.这个问题有时候是因为太多的程序在运行,很多人就喜欢直接关机,忽略了这些正在运行的程序.从而导致电脑的内在系统崩坏,不能一下子关机,电脑的程序一直在运转,无法关机. ...

  • 七喜电脑开不了机?小编帮你分问题解决

    七喜电脑开不了机?小编帮你分问题解决

    电脑已经成为我们日常办公的重要工具,许多文件,公司机密,个人隐私,文档资料都在电脑中,假如电脑坏了的话,会毁了一天,一个月甚至更长时间的工作,白费了那么多心血,电脑的各种故障中,最让人崩溃的问题就是电 ...

  • 电脑开不了机风扇在转怎么解决?具体介绍说明

    电脑开不了机风扇在转怎么解决?具体介绍说明

    在信息现代化和计算机普及的社会,想必我们对于电脑一点都不陌生,电脑正在改变着我们学习.生活和工作的方式,电脑已经成为我们生活中相当重要的一部分了,那么,你是否会遇见这样的问题,比如电脑开不了机,而CP ...

  • 电脑蓝屏开不了机怎么解决? 电脑牛人来帮忙

    电脑蓝屏开不了机怎么解决? 电脑牛人来帮忙

    电脑已经成为我们工作生活中离不开的了,不过在电脑使用过程中出现的一个故障问题往往让我们崩溃不已,尤其是类似蓝屏黑屏这种,突然发生让人防不胜防,有时候蓝屏之后还开不了机,那电脑蓝屏开不了机怎么解决?小编 ...

  • 电脑为什么会蓝屏? 电脑蓝屏死机的处理办法

    电脑为什么会蓝屏? 电脑蓝屏死机的处理办法

    相信不少人都曾经试过在工作过程中或进行某些操作的时候突然间电脑蓝屏了,尤其是重要文件还没保存的时候,碰上电脑蓝屏往往让人抓狂不已,那电脑为什么会蓝屏?电脑蓝屏死机的处理办法有哪些?我们赶紧学习下: 电 ...

  • 电脑开不了机怎么办 教你如何排除故障

    电脑开不了机怎么办 教你如何排除故障

    电脑开不了机怎么办?曾经我被这个问题给打败了,后来才仔细的研究了一下.那么,电脑开不了机该怎么办呢?下面跟小编一起来看看如何解决这个问题. 电脑开不了机怎么办一:检查主机电源是否工作 电源风扇是否转动 ...

  • 电脑花屏死机的原因及如何处理

    电脑花屏死机的原因及如何处理

    我想大家一定经常会玩游戏,上网看电视看电影之类的吧,尤其是在学生时代,对WOW.CF之类的游戏或是当下流行的影视特别痴迷.可是有时正当玩游戏玩的高兴或是看电影至精彩的时刻,电脑突然出现花屏蓝屏的状态, ...

  • 电脑开不了机键盘灯不亮怎么回事?怎么解决

    电脑开不了机键盘灯不亮怎么回事?怎么解决

    如今,电脑对于我们的生活有着不可替代的作用,所以更好地学习电脑相关的知识,是相当重要的.在平时电脑的运行过程中,有可能会出现各种故障,比如电脑蓝屏了,比如电脑显示屏出现条纹,又比如电脑开不了机而且键盘 ...

  • 电脑关不了机怎么解决?解决方法介绍

    电脑关不了机怎么解决?解决方法介绍

    电脑关不了机怎么解决?介绍一 电脑关不了机的原因,最常见的就是电脑中了木马或者病毒,电脑硬件出现了问题,或者是没有及时关闭的后台运行的程序比较多.其解决方法,是先用杀毒软件等进行电脑的全盘扫描,及时删 ...