http://www.fu36.com

mgctoken智能搬砖难怪最近Eth算力暴涨,看看影音恶意挖矿行为分析

  

  任务模块下载后生存在%APP_DATA%\VideoLegend\RBC\Task目次下:

  RBCShellExternal.dll阐明

  CSafeRT::MonitorThread

[Deploy64.dll生成的挖矿文件]

  [挖矿设置文件]

  [挖矿任务剧本设置的DLL下载地点]

  以上就是看看影音操浸染户电脑运算资源举办挖矿的整个进程阐明。由于看看影音自己属于正常软件,凡是被各安详软件直接信任,从而导致这种恶意行为难以被发明。今朝毒霸可以查杀该恶意行为。

  [看看影音挖矿行为整体流程简图]

  RBCShellExternal.dll会通过rundll32.exe来加载模块RBCEntry.dll,并通过呼吁行参数来检测调试东西。

  RbcEntry.dll封装了LUA引擎,加载后首先理会Rbc.xar,然后挪用个中的.lua,MGC TOKEN钱包,启动整个剧本。Rbc.xar是任务调治模块,MGC TOKEN官网,焦点成果是从云端下载任务节制剧本并加载运行。

  最后加载rbc.scheduler.lua内里包括了长途设置的任务剧本url:http:/***.kankan./rbc/taskschedule_v.2.dat

  EthThread

  内里设置了deploy.dll的3个下载地点caburl、caburl_without、caburl_withoutwithdll,其 中caburl是编译了opencl的,caburl_without是没有编译opencl的,caburl_withoutwithdll是没有编译 opencl但打包了OpenCl.dll的。但剧本中老是去下载caburl,最后挪用rundll32.exe加载Deploy64.dll运行:

  读取设置字段后利用AES28算法解密,获得

  然后拼接获得 :8888/xFfB6faEFA433425ae7956f6D3F7cd762。

  

  

  Deploy64.dll加载起来后就开始执行真正的挖矿代码了,是导致GPU利用率大增、电脑过热、C盘可用空间变小的真正元凶。

  [rbc.scheduler.lua调治剧本]

  

  个中link就是该任务模块的下载地点,凡是是xar包;frequency是执行频率;googleid和cnzzid是活泼统计标识。configurl是剧本内里利用的长途设置,主要是挖矿DLL模块的下载地点和MD5,详细内容请看下文。

  [.lua加载剧本]

  从各个函数名称可以看出,该剧本是主要成果是调治任务的运行。而剧本taskschedule_v.2.dat则是真正的任务剧本。

  .lua主要成果是加载各个剧本,代码如下:

  

  

  configurl设置的剧本内容如下:

  

[解密获得的挖矿参数]

  [挖矿任务剧本的参数设置块]

  该线程会建设一个窗口,窗口类名为__deploy_CSafeRTImpl,窗口名称为__deploy_CSafeRTImpl_i__5,mgctoken智能搬砖,然后在窗口进程函数中检测调试器和列举窗口,假如检测到被调试或有检测东西窗口存在则退出。

  


下载Pandoras钱包,创建或导入EOS钱包,参与Flame Schedule火种计划,链上互助游戏,每轮获利10%-15%,可以循环重复参与,还有更多的EOS、ETH游戏、撮合交易、DAPP应用等钱包功能,等你来体验。Pandoras开创全球DeFi新格局,吸引了来自全球的区块链爱好者的兴趣和参与=>【点击查看下载注册教程】

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。