并被启动执行，还会直接读取文件的内容。

而且以System账户运行， 克日。

该DLL的主要成果都会合在这个函数中，并不代表本站附和其概念和对其真实性认真，，接洽邮箱admin@myhack58.com，到指定站点下载具有远控成果的样本，同时还会联网下载挖矿措施，仅适于网络安详技能喜好者进修研究利用， 判定是不是打点员权限运行 加载内存DLL 内存DLL有一个导出函数StartAsFrameProcess，获取受害主机信息。

不然就解密并加载内存PE， sqlbrowsers.exe会首先查抄当前历程是不是以打点员权限运行，本重定名为sqlagentc.exe， 由日志可以确认，该样本回在执行挖矿的同时，矿池地点为 x.huineng.co:80 ip地点为 154.92.19.164。

诱导用户点击执行。

该文件在下载到当地之后， [1] 【声明】:黑吧安详网()刊登此文出于通报更多信息之目标，目标也是为了确保历程SQLAGENTSN.exe会一直在运行， 木马行为 该样本主体除了载挖矿措施举办挖矿之外，文件列表如下： 个中startas.bat剧本认真将SQLAGENTSON.exe建设为处事，该站点为一个HFS下载站点： 针对cpu32.exe的文件举办阐明，AutoRun.vbs剧本的内容和VBS.vbs剧本的内容很相似，存放于C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目次下，并进一步节制受害主机， 主体在执行时会释放拷贝自身到C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SQLAGENTSA.exe，发明该站点也是一个HFS下载站点， 启动参数为： --donate-level 1 --max-cpu-usage 75 -o x.huineng.co:80 -u x.0309C -p x -k sqlagentc.exe启动参数 同时在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目次下也发明白措施运行日志： 挖矿日志 个中CPU_log.txt 即为挖矿日志，我们会在最短的时间内举办处理惩罚， 样本中硬编码的设置文件路径 SQL.txt的内容 登录到站点上之后，威胁情报小组在对可疑下载类样本举办阐明时，如有问题请接洽我们，并读取C2设置文件，然后下载木马文件到当地继承执行， 拷贝自身并继承执行 SQLAGENTSA.exe 会在当地释放并执行名称为VBS.vbs和AutoRun.vbs的两个vbs剧本，发明该文件实际是操作了开源代码XMRig2.11版本的门罗币挖矿措施。

通过C2设置文件，从中获取木马文件地点，下载木马文件继承执行， VBS.vbs剧本内容 该剧本的目标就是为了确保历程SQLAGENTSN.exe会一直在运行，发明一起门罗币挖矿+木马的双成果样本，而且文件描写信息为 360主动防止处事模块，假如不是的话就以打点员权限再次启动历程， 挖矿行为 样本中存在如下硬编码文件路径： 登录站点可以发明， 具体阐明进程 样本主体 样本主体文件回收的是360杀软的图标，进修中请遵循国度相关法令礼貌，。

并继承执行， 。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。