摘要:
然后会杀掉竞品挖矿木马进程kswapd0、rsync、tsm、work32、work64、go、joseph,然后从C2服务器下载挖矿木马top并启动挖矿.......
然后会杀掉竞品挖矿木马进程kswapd0、rsync、tsm、work32、work64、go、joseph,然后从C2服务器下载挖矿木马top并启动挖矿.
(要注意的是区分系统进程和木马进程,因为很多木马的进程都是以随机字符名称出现的,例如kswapd1和kswapd0也比较类似,但是
∩▽∩
( yao zhu yi de shi qu fen xi tong jin cheng he mu ma jin cheng , yin wei hen duo mu ma de jin cheng dou shi yi sui ji zi fu ming cheng chu xian de , li ru k s w a p d 1 he k s w a p d 0 ye bi jiao lei si , dan shi . . .
挖矿木马的开源导致获取挖矿木马的成本下降.大量黑产组织持续 kswapd0等进程,并将结果保存在proc隐藏文件中,最后删除proc
推测为亡命徒(Outlaw)僵尸网络木马的第3个版本,母体文件释放shell脚本启动对应二进制程序,kswapd0负责进行门罗币挖矿,tsm
(要注意的是区分系统进程和木马进程,因为很多木马的进程都是以随机字符名称出现的,例如kswapd1和kswapd0也比较类似,但是
伪装的木马这个kswapd0 有点熟悉.kswapd0 占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用
发表评论