effe
Inlägg: 10
Blev medlem: 13 dec 2015, 11:55

Hjälp att analysera virus - Bitcoinminer?

22 dec 2016, 09:49

Hej!

Har en närstående som kör en enkel webbserver.
Han bad mig kontrollera varför den var så seg.
Visade sig att CPU låg på 100% då tjänsten servie.exe drog all kraft.

Mina kunskaper inom malware är inget att skryta med, men lyckades hitta att den kördes i C:\Windows\ngmtx\
Där i finns exe-filen och även ett gäng andra filer.

Kollade via Process Explorer och använde deras virus-check via virustotal.com som rapporterade det hela som bitcoinminer:
https://virustotal.com/sv/file/3841b1b4 ... 482396655/

Tacksam om någon analysera vad den gör, och hur de har "rootat" sig då de återkommer efter någon dag om man tar bort mappen.

Stort tack på förhand :).

Filen finns här: https://rbfi.io/dl.php?key=/W9K7/ngmtx.zip

Användarvisningsbild
deletedX
Respekterad Medlem
Inlägg: 131
Blev medlem: 17 okt 2014, 11:55

Re: Hjälp att analysera virus - Bitcoinminer?

22 dec 2016, 10:00

effe skrev:Tacksam om någon analysera vad den gör, och hur de har "rootat" sig då de återkommer efter någon dag om man tar bort mappen.


Utan att ha tittat på den kan man ju från namnet utgå från att det är en bitcoin miner.

Ta en titt på dina webbserverloggar, gissningsvis har angriparen lyckats ladda upp filen och få den exekeverad av servern genom någon sårbarhet i webbapplikationen, därefter är andra loggar att titta på.

effe
Inlägg: 10
Blev medlem: 13 dec 2015, 11:55

Re: Hjälp att analysera virus - Bitcoinminer?

22 dec 2016, 10:17

Tack för snabbt svar!

Menar du "ngmtx"? Googlat på det men inga direkta träffar..

Yes, ska kontrollera loggarna för webbservern och apache.

Användarvisningsbild
deletedX
Respekterad Medlem
Inlägg: 131
Blev medlem: 17 okt 2014, 11:55

Re: Hjälp att analysera virus - Bitcoinminer?

22 dec 2016, 10:29

Jag menar att eftersom filen identifieras som en bitcoin miner är det inte otroligt att det är det också.

Vad ngmtx är för något vet jag inte.

Apache -är- webbservern.

effe
Inlägg: 10
Blev medlem: 13 dec 2015, 11:55

Re: Hjälp att analysera virus - Bitcoinminer?

22 dec 2016, 10:39

Ah, förstår. Nyfiken på vad ngmtx kan betyda/stå för, eller om det bara är humbug.

Jo tack, felformulerat av mig.
Jag kollar windows event-loggen på servern och apache-logg.

Användarvisningsbild
ak
Inlägg: 275
Blev medlem: 29 dec 2015, 11:45
Områden: Vakta orten
Kontakt: Twitter

Re: Hjälp att analysera virus - Bitcoinminer?

22 dec 2016, 11:50

Du skulle försökt följa trafiken i Wireshark för att se vart den leder :D
Skönt att du hittade orsaken till problemet iaf!
Min blogg | https://akboy.se/

Användarvisningsbild
tomasuh
Respekterad Medlem
Inlägg: 87
Blev medlem: 12 dec 2014, 13:08

Re: Hjälp att analysera virus - Bitcoinminer?

22 dec 2016, 17:54

Den ansluter till static.178.147.9.176.clients.your-server.de över port TCP/45560.
Vid skickad data försöker servern parsa det i JSON RPC vilket är lite intressant...

Kod: Markera allt

tomasuh@crunch:~$ nc static.178.147.9.176.clients.your-server.de 45560
epa
{"jsonrpc": "2.0", "error": {"code": -32700, "message": "Parse error"}, "id": null}


När man besöker static.178.147.9.176.clients.your-server.de över HTTP skickas man vidare mot minergate.com vilken är en mining pool.

Passiv DNS lookup av IP adressen (https://passivedns.mnemonic.no/search/? ... thod=exact) visar att flertalet subdomäner till minergate.com har pekat mot den.

Binären verkar inte göra mer än att mina vad jag sett vilket det också tyder på om man kollar VT resultat.

Tror den inte gillar min virtuella maskin, kanske har nått med att jag inte har grafikdrivrutiner installerade, för mine:a lyckas den inte med.

Användarvisningsbild
ak
Inlägg: 275
Blev medlem: 29 dec 2015, 11:45
Områden: Vakta orten
Kontakt: Twitter

Re: Hjälp att analysera virus - Bitcoinminer?

22 dec 2016, 20:32

Bra att den inte vinner något på att vara installerad på servern iaf!
Skicka en abuse report till ISP med lite bevis om du vill hämnas lite, snål jävel som inte köper sin egen miner och tjänar ärliga stålar.
Min blogg | https://akboy.se/

effe
Inlägg: 10
Blev medlem: 13 dec 2015, 11:55

Re: Hjälp att analysera virus - Bitcoinminer?

05 jan 2017, 16:43

tomasuh skrev:Den ansluter till static.178.147.9.176.clients.your-server.de över port TCP/45560.
Vid skickad data försöker servern parsa det i JSON RPC vilket är lite intressant...

Kod: Markera allt

tomasuh@crunch:~$ nc static.178.147.9.176.clients.your-server.de 45560
epa
{"jsonrpc": "2.0", "error": {"code": -32700, "message": "Parse error"}, "id": null}


När man besöker static.178.147.9.176.clients.your-server.de över HTTP skickas man vidare mot minergate.com vilken är en mining pool.

Passiv DNS lookup av IP adressen (https://passivedns.mnemonic.no/search/? ... thod=exact) visar att flertalet subdomäner till minergate.com har pekat mot den.

Binären verkar inte göra mer än att mina vad jag sett vilket det också tyder på om man kollar VT resultat.

Tror den inte gillar min virtuella maskin, kanske har nått med att jag inte har grafikdrivrutiner installerade, för mine:a lyckas den inte med.


Lite sent svar (vinterkräksjukan och jul-ledighet) men tusen tack för en klockren analys!
Blockering av TCP port 45560 har gjort susen.
Stort tack tomasuh!