• Giới thiệu
  • Liên hệ
  • Chính sách bảo mật
logo
  • PHONG THỦY
  • TÀI CHÍNH
  • NHÂN VẬT
  • KIẾN THỨC
No Result
View All Result
  • PHONG THỦY
  • TÀI CHÍNH
  • NHÂN VẬT
  • KIẾN THỨC
No Result
View All Result
logo
No Result
View All Result
Home xmrig cpu miner là gì

Xmrig cpu miner là gì

Share on Facebook Share on Twitter

Những ngày vừa qua, một một số loại mã độc new xuất hiện được xác định dùng để đào chi phí ảo, một số loại mã độc này một Lúc được chạy vẫn chiếm dụng tài ngulặng CPU làm cho máy tính trsinh sống bắt buộc đủng đỉnh và gặp mặt chứng trạng đơ Lúc triển khai những tác vụ khác. điều đặc biệt, mã độc được vạc tán qua Facebook Messenger bằng cách âm thầm setup một extension vào trình xem xét Google Chrome (nếu như được cài đặt bên trên máy) để auto gửi mẫu nhân phiên bản của chính nó cho những anh em của người tiêu dùng facebook. File đi cùng mang tên dạng video_.mp4 để tạo ra sự tò mò và hiếu kỳ cho những người thừa nhận. Một khi bạn dấn mở tệp tin thực thi này, máy tính xách tay của mình liên tục trnghỉ ngơi thành công xuất sắc nắm đào tiền ảo cho tin tặc mặt khác tiếp tục phạt tán theo con đường trên.

Bạn đang xem: Xmrig cpu miner là gì

Vậy mã độc này đang tiến hành đầy đủ chuyển động ví dụ làm sao, ngoài câu hỏi vươn lên là máy tính xách tay nạn nhân thành công xuất sắc gắng đào tiền ảo, nó có đem cắp tài liệu, âm thầm đo lường chuyển động người tiêu dùng hay tiến hành bất cứ hành vi như thế nào khác ảnh hưởng cho người tiêu dùng không? grumpygourmetusa.com sẽ tiến hành phân tích sâu hơn để câu trả lời những thắc mắc này.

Phân tích

Dịch ngược mã nguồn

trước hết, Cửa Hàng chúng tôi cần sử dụng Resource Hacker để xác minh ngôn ngữ lập trình sẵn được thực hiện, kết quả là AutoIt.

*

Tiếp theo, Exe2Aut sẽ giúp đỡ bọn họ đã có được mã mối cung cấp hoàn chỉnh

*

Toàn cỗ mã nguồn bao gồm hơn 3000 mẫu lệnh, tuy nhiên chỉ có tầm khoảng rộng 150 dòng lệnh do hacker viết, phần còn lại là những hàm viết sẵn của tlỗi viện.

Phân tích file thực thi

Dễ dàng nhận thấy ở đây, các string đã biết thành hacker mã hoá với được giải thuật do hàm ukgkoi()

*

Đây là một hàm mã hoá khá đơn giản (thực hiện hệ mã một bảng cố gắng - từng kí từ bỏ trong string được mã hoá thành một kí trường đoản cú khác tương ứng), để giải thuật một lượt các string này, Cửa Hàng chúng tôi viết một script giải mã dựa trên hàm bên trên với sửa chữa thay thế string sẽ giải thuật vào địa điểm tương xứng.

*

Sử dụng tệp tin mới chiếm được chứa các string sẽ giải mã thuận tiện hơn đến câu hỏi đọc hiểu code.

*

Sau lúc so với, Shop chúng tôi sẽ tò mò được toàn thể hoạt động vui chơi của mã độc này lúc được thực thi, mẫu vẽ sau đây biểu lộ chi tiết những hành vi của mã độc:

*

Trước hết, mã độc gửi một request lên hệ thống của hacker hẳn nhiên một trong những ban bố trong header. Các biết tin này sẽ không bao gồm đọc tin cá nhân người dùng mà lại chỉ có công bố về tiến trình đang hoạt động, tiến trình đã bay ví như request không thành công. Ở trên đây, chúng tôi sẽ sửa lại các tên biến đổi cùng hàm theo mục đích sử dụng để dễ đọc đọc.

*

Tạo tlỗi mục , sở hữu những file 7za.exe, files.7z vào thư mục vừa chế tác với cần sử dụng 7za.exe nhằm bung file files.7z thành 5 tệp tin vào mục này: background.js, jquery.min.js, manifest.json (các tệp tin extension), config.json, worker.exe (tệp tin config với file triển khai đào chi phí ảo). Sau đó, mã độc từ copy bao gồm nó vào tlỗi mục vừa tạo thành cùng với tên cherry.exe.

files.7z là một trong những tệp ZIP đựợc đặt mật khẩu là 6H5d75Z8QwgEeQyU

*
Kết trái, thỏng mục new được tạo nên cất những file:
*

Tìm và giới hạn quá trình chrome.exe.

*

Ghi key khởi rượu cồn cherry.exe vào tlỗi mục autorun của Registry HKCUSoftwareMicrosoftWindowsCurrentVersionRun (cất những liên kết đến file được Windows tự động hóa chạy Khi khởi động) dưới tên Google Update để đánh lừa người tiêu dùng.

*

điện thoại tư vấn lệnh chạy tiến trình chrome.exe kèm tuỳ lựa chọn --load-extension trên băng thông đến tlỗi mục đựng những file extension: manifest.json chứa những lên tiếng về extension, bao hàm knhì báo những tệp tin script: background.js, jquery.min.js, cùng tên của extension trường hòa hợp này là “Google Odevan”, (có thể đổi khác bởi vì những lần chạy, mã độc cài về một tệp tin files.7z mới)

*
*

Để extension được tự động hóa load vào Chrome trong các lần tiếp sau người tiêu dùng msinh hoạt trình chăm sóc, mã độc vẫn kiếm tìm tìm shortcut của Chrome trong một vài ba thỏng mục rất có thể lưu cùng tạo shortcut triển khai lệnh nghỉ ngơi bên trên (chạy chrome.exe kèm extension) ghi đè lên shortcut tìm thấy.

Xem thêm: Phong Thủy Cửa Phòng Ngủ: Kích Thước, Hướng Cửa Phòng Ngủ Theo Tuổi

*

Cuối cùng, nó bình chọn sự trường thọ của các file worker.exe cộ, config.json với triển khai worker.exe. Sau lúc kiểm tra hash, hoàn toàn có thể hiểu rằng worker.exe cộ đó là chính sách đào tiền ảo Monero mang tên XMRig. File config.json chứa báo cáo thông tin tài khoản của hacker mà số chi phí đào được sẽ tiến hành gửi vào.

*
*

Monero là nhiều loại tiền ảo lộ diện từ thời điểm năm 2014, mang đến hiện nay đã có không ít trường hợp hacker bí mật thực hiện lý lẽ XMRig nhằm đào tiền ảo bên trên máy tính người tiêu dùng.Tuy nhiên, lần này hacker trải qua Facebook Messenger để nhắn tin nhắn chứa mã độc mang đến list anh em, bên cạnh đó đánh vào trung ương lí hiếu kỳ của người dùng, làm cho mã độc phân phát tán rộng vào thời gian ngắn.

Đến đây ta đang hiểu rằng các buổi giao lưu của mã độc sau thời điểm triển khai. Tuy nhiên, extension được cài vào trình chú tâm Chrome đang làm cho những gì? Các tác dụng đối chiếu dưới đây cho biết những hoạt động nguy khốn nhằm đánh tráo thông tin tài khoản của người tiêu dùng.

Phân tích Chrome extension

Extension ô nhiễm và độc hại ko thẳng tiến hành hành vi ăn cắp thông tin tài khoản mà cài đặt về mã độc từ bỏ hệ thống của hacker với tiến hành.

Cụ thể, vào tệp tin background.js, script gửi request mang lại băng thông http://plugin.jukig.mokuz.bid/config

*

Kết quả trả về nhỏng sau:

*

Tại ngôi trường “url” là http://plugin.jukig.mokuz.bid/bghtnjaf, phía trên chính là băng thông cho đoạn script được mua về và tiến hành (có thể sử dụng chế độ Postman để request và coi kết quả):

*

Tiếp tục đối chiếu đoạn script được cài đặt về vẫn làm cái gi.

Việc trước tiên là auto đóng tab khi truy vấn băng thông chrome://extensions (msinh sống danh sách các extension của Chrome) nhằm người dùng cần yếu vào chỗ này xoá extension ô nhiễm và độc hại (rất có thể xoá bằng cách nhấp chuột đề xuất vào hình tượng extension là ibé setting bên trên tkhô cứng biện pháp với lựa chọn Xoá ngoài Chrome…)

*

*
*

Nguy hiểm hơn, script này có chức năng ăn cắp thông tin tài khoản người dùng Khi đăng nhập và trình lên server:

*

Hacker còn khôn khéo xoá cực hiếm thẻ meta Content-Security-Policy trong rất nhiều response nhận thấy (thẻ này được cho phép hạn chế nguy cơ tấn công XSS bằng cách chỉ được cho phép tài nguyên ổn được thiết lập từ các nguồn xác định) nhằm script không xẩy ra vô hiệu hoá Lúc trang web thực hiện kỹ thuật này.

*

Đoạn script bắt đầu được mua về thực hiện xoá cookie (đặt ngày hết hạn vào thời điểm năm 1970) nhằm mục đích buộc người tiêu dùng cần đăng nhập lại Facebook.

*

lúc người dùng singin lại, đoạn mã gửi email, mật khẩu đăng nhập lên server sẽ được tiến hành, người dùng đã trở nên đánh tráo tài khoản cơ mà ko xuất xắc biết. khi đã gồm lên tiếng đăng nhập Facebook của người tiêu dùng, hacker dễ ợt liên tục phân phát tán mã độc qua Messenger.

Kết luận

do vậy, không tính vấn đề vươn lên là máy tính nàn nhân trở thành công nuốm đào chi phí ảo, mã độc này còn đánh cắp thông tin tài khoản người dùng Facebook với rất có thể cả các trang web không giống trường hợp người dùng đăng nhập.

Do kia, khi người tiêu dùng sẽ vô tình chạy tệp tin mã độc này, ngoài câu hỏi loại bỏ bọn chúng bằng phương pháp sử dung những Anti Virus (hiện nay vẫn có nhiều AV cập nhật chủng loại dìm diện) còn phải thay đổi password Facebook cũng tương tự các trang web vẫn triển khai singin nhằm đảm bảo an toàn cho tài khoản của chính mình.

Sample mã độc cùng những script so với được cung cấp khá đầy đủ trên đây:https://github.com/grumpygourmetusa.com/monero-mining-malware

Share Tweet Pin

BÀI VIẾT LIÊN QUAN

hướng dẫn tạo ví ripple

Hướng dẫn tạo ví ripple

by admin
27/03/2021
hướng dẫn sử dụng telegram trên máy tính

Hướng dẫn sử dụng telegram trên máy tính

by admin
27/03/2021
cách đào ethereum miễn phí

Cách đào ethereum miễn phí

by admin
29/03/2021
hướng dẫn cách đào monero (xmr) bằng cpu, gpu mới nhất

Hướng dẫn cách đào monero (xmr) bằng cpu, gpu mới nhất

by admin
28/03/2021

Trả lời Hủy

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Bài Viết Mới Nhất

Xổ số Vietlott 6/55 là gì? Phương pháp chơi hiệu quả và chuyên nghiệp

17:04, 23/04/2022
sàn tiền ảo uy tín

Sàn tiền ảo uy tín

15:14, 27/03/2021
6 sàn giao dịch mua bán bitcoin hàng đầu tại việt nam & thế giới

6 sàn giao dịch mua bán bitcoin hàng đầu tại việt nam & thế giới

03:00, 27/03/2021
các sàn giao dịch bitcoin uy tín

Các sàn giao dịch bitcoin uy tín

19:01, 27/03/2021

Đề xuất cho bạn

Cách lấy lại mã 2fa

03:40, 27/03/2021
state/province/region là gì

State/province/region là gì

10:35, 30/03/2021
truyên tranh 18 có màu

Truyên tranh 18 có màu

13:13, 27/03/2021
tắt bảo mật 2 lớp icloud

Tắt bảo mật 2 lớp icloud

01:32, 28/03/2021
hạn mức chuyển khoản mb bank

Hạn mức chuyển khoản mb bank

21:37, 26/03/2021
không vào được web nước ngoài

Không vào được web nước ngoài

02:43, 28/03/2021

Giới thiệu

grumpygourmetusa.com là website chia sẻ kiến thức hoàn toàn miễn phí. Cùng với sự phát triển công nghệ và ngành thể thao điện tử, thì ngày càng có nhiều người tìm hiểu thêm lĩnh vực này. Chính vì thế, grumpygourmetusa.com được tạo ra nhằm đưa thông tin hữu ích đến người dùng có kiến thức hơn về internet.

Danh Mục

  • PHONG THỦY
  • TÀI CHÍNH
  • NHÂN VẬT
  • KIẾN THỨC

Bài viết hay

  • Your welcome là gì
  • Bank wire transfer là gì
  • Gỡ window defender win 10
  • Tên thật của giáo sư chuối là gì
  • Tuổi đinh mùi 1967 hợp hướng nào

Textlink Quảng Cáo

xosoketqua.com

  • Giới thiệu
  • Liên hệ
  • Chính sách bảo mật

© 2023 grumpygourmetusa.com thành lập và phát triển vì cộng đồng.

x
No Result
View All Result
  • PHONG THỦY
  • TÀI CHÍNH
  • NHÂN VẬT
  • KIẾN THỨC

© 2023 grumpygourmetusa.com thành lập và phát triển vì cộng đồng.