前言

由于区块链技术热炒以及数字货币魔性推广运营，如比特币、以太币、门罗币、达世币等层出不穷的数字货币各种热炒，在这些的利益驱使下便出现各种模式的挖矿木马程序。

挖矿木马主要就是通过利用各种手段，将挖矿程序植入到用户的计算机中，在用户不知情的情况下，偷偷利用用户的计算机进行执行挖矿功能，从而获取收益。

以下情况是用户中木马的高频事件：

1.用户往往在不注意的时候，下载并运行了来历不明的破解软件或不安全软件;

2.用户点击运行了钓鱼邮件中的附件的文件;

3.用户没有做好系统及时更新，通过系统漏洞传播;

4.用户浏览了植入挖矿脚本的网页，浏览器就解析脚本进行挖矿。

现在的挖矿木马存在种类非常多常见的如：普通开源的挖矿程序、无文件模式的挖矿程序、网页模式的挖矿程序、驱动模式的挖矿程序、Docker模式的挖矿程序。

自查挖矿木马

1.cpu的使用率，中了挖矿木马，因为会在系统中运行挖矿程序，使得计算机在正常运行下会变得非常卡顿，并且CPU的使用率会变得非常高，甚至会达到100%。

2.通过杀毒软件进行全盘查杀，如果计算机中有存在挖矿木马的样本程序，杀毒软件一般情况下是可以查杀。

3.通过抓包工具(Wireshark）进行查看分析流量，从流量中去分析排查可疑的流量数据包。

为了感谢广大读者伙伴的支持，准备了以下福利给到大家：
【一>所有资源获取<一】
1、200多本网络安全系列电子书（该有的都有了）
2、全套工具包（最全中文版，想用哪个用哪个）
3、100份src源码技术文档（项目学习不停，实践得真知）
4、网络安全基础入门、Linux、web安全、攻防方面的视频（2021最新版）
5、网络安全学习路线（告别不入流的学习）
6、ctf夺旗赛解析（题目解析实战操作）

样本基本信息

通过hash工具获取都挖矿木马样本的MD5、SHA1、CRC32数据。

image.png

该挖矿样本是控制台窗口的应用程序，通过ExeInfo PE工具中的区段信息，可以看出该样本采用了UPX压缩壳进行对样本保护，并且该样本程序是64位的应用程序。

image.png

通过火绒病毒查杀软件，进行扫描查杀该样本程序，可以从下图看到，该样本是属于Coinminer团伙研发的挖矿病毒样本程序。

image.png

木马功能分析

分析样本需要工具：虚拟机VMware、IDA、X64dbg、pchunter、WireShark等工具。
脱UPX压缩壳方法：单步调试法、内存访问断点法、堆栈平衡法。

通过单步调试法进行脱UPX壳，样本加载进x64dbg工具后，就单步F8方式，一直单步运行，通过观察程序的相对地址，直到跳转到原程序的OEP位置。那么再将内存数据dump下来就可以了。

image.png

样本的主要功能：通过循环遍历创建控制台文件，写入数据到文件，启动控制台文件。通过利用系统函数CreateFileW进行创建文件名称设置为7个字母的随机名称的文件，并通过WriteFile函数，将原始样本内数据拷贝到新创建的进程文件中，最后通过调用系统函数CreateProcessW函数进行启动样本。