本文作者:admin

关于nheqminer.exe是什么的信息

admin 2023-02-12 586
关于nheqminer.exe是什么的信息摘要: 本文对nheqminer.exe是什么,内容进行了解读,下面就跟随币杠财经网小编一起了解nheqminer.exe是什么,。集后门木马、挖矿脚本、勒索病毒于一身,这个ZIP压缩文件...

本文对nheqminer.exe是什么,内容进行了解读,下面就跟随币杠财经网小编一起了解nheqminer.exe是什么,。

集后门木马、挖矿脚本、勒索病毒于一身,这个ZIP压缩文件厉害了

近日,白帽子黑客Marco Ramilli捕获到了一封“奇特”的恶意电子邮件,其中包含一条链接,一旦点击就会导致一个名为“pik.zip”的压缩文件被下载。之所以说它奇特,是因为包含在这个ZIP文件中的JavaScript脚本文件采用了西里尔字母进行命名——被命名为“Группа Компаний ПИК подробности заказа”,翻译过来就是“PIK集团公司订单详情”。

需要说明的是,目前使用西里尔字母的文字包括俄语、乌克兰语、卢森尼亚语、白俄罗斯语、保加利亚语、塞尔维亚语和马其顿语等,而PIK恰好就是俄罗斯的一家房地产公司,拥有超过1.4万名员工。也就是说,攻击者显然试图将电子邮件伪装成来自PIK公司,从而借助该公司的声誉开展攻击活动。

Marco Ramilli表示,攻击者使用了多种混淆技术来对该脚本JavaScript进行混淆处理。其中,在感染第一阶段阶段存在两个主要的混淆流:

该脚本最终会释放并执行一个虚假的图像文件“msg.jpg”,该文件实际上是一个经过UPX加壳的Windows PE文件,被用于感染的第二阶段。

在感染的第二阶段,三个额外的模块会被释放并执行:一个后门木马、一个挖矿脚本和一种此前曾被广泛报道过的勒索病毒——Troldesh。

分析表明,第一个被释放的模块(327B0EF4.exe)与Troldesh非常相似。该勒索病毒会在加密目标文件之后对其进行重命名并附加一个“.crypted00000”扩展名。举例来说,当一个名为“1.jp”的文件在被加密之后,其文件名就会被重命名为“hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007”。同时,Troldesh还会篡改计算机桌面的壁纸,以显示勒索信息:

第二个被释放的模块(37ED0C97.exe)是被证实一个名为“nheqminer”的挖矿脚本,被用于挖掘大零币(Zcash,一种加密货币)。

第三个安装被释放的模块(B56CE7B7.exe)则被证实是Heur木马,该木马的主要功能是针对WordPress网站实施暴力破解,曾在2017年被广泛报道。

根据Marco Ramilli的说法,该木马的典型行为与HEUR.Trojan.Win32.Generic非常相似,包括:

一旦该木马安装成功,就会通过暴力破解来寻求弱口令凭证,而一旦发现了弱口令凭证,就将pik.zip复制到这些WordPress网站中。

Marco Ramilli认为,此次攻击活动背后的攻击者显然试图通过多种渠道来牟利——勒索病毒和加密货币挖矿脚本。此外,攻击者还试图通过受感染计算机来暴力破解并控制随机的WordPress网站。这样的攻击活动工作量显然非常大,且很容易被检测到。因此,攻击者不太可能是某个国家黑客组织,而只是一群想要同时通过多种方式来牟利的网络犯罪分子。

求教,我用的新网云服务器,这几天突然发现进程nheqminer 占cpu特别高。

你机器被人控制了 ,这个进程是 虚拟币的 挖矿主程序 ,赶紧杀木马吧

nheqminer.exe是什么为什么占cpu高

这方面主要涉及到的是系统问题,比如系统过于臃肿,开启过多程序以及电脑中病毒、木马等等都会产生CPU使用率过高,而导致电脑速度慢。

解决办法主要是围绕系统优化,优化开机启动项、尽量避免开启太多程序等等。

有关nheqminer.exe是什么,内容分享到这里,想要了解更多区块链内容请关注币杠财经网。

推荐阅读:

比特币交易平台哪个好中国(哪个比特币交易网站好)

比特币走势图怎么分析(什么网站可以看到比特币走势)

比特币平台倒闭了怎么办(交易网站倒闭了如何找回比特币)