澳门新萄京官方网站-www.8455.com-澳门新萄京赌场网址

澳门新萄京官方网站文件夹共享及磁盘映射,服

2019-05-25 作者:www.8455.com   |   浏览(51)

操作远程机器首要选用的有paramiko,WMI(Windows Management Instrumentation),SMBConnection.

Windows下的WMI程序

Windows Management Instrumentation(WMI)是Windows驱动程序模型的一组扩充,提供了贰个操作系统界面,通过该分界面,检查测试组件能够提供消息和公告。WMI允许脚本语言(如VBScript)在本地和远程管理Microsoft Windows个人Computer和服务器。WMI预安装在Windows Vista,Windows Server 2003,Windows XP,Windows Me和Windows 三千中。

萨姆ba服务所使用的端口和协商: 

Powershell学习之道-文件夹共享及磁盘映射

导读在Linux遭遇下,大家很自由就能够贯虱穿杨地经过命令操作壹切事物,在Windows下,Powershell也好不轻易后来居上,提供多量的cmdlet以及c#的横向拓展。上面将由小编引导我们通过Powershell达成文件夹共享,当然文中也不会冷落cmd那枚大将。

文本夹共享概述

共享文件夹的应用特别广阔,客户端对劳务器端进行文件管理,局域网文件直传等等,在linux下,能够归纳的安装smaba协议,轻易的配备之后就能够使用。在windows下,能够经过图形化的操作开启那项作用,当然带着一点极客风格,大家透过powershell(少些油不过生cmd)来对其张开田间管理。

操作步骤翻看共享列表**

在powershell内,我们能够透过试行以下cmdlet获取共享音信:

λ Get-WmiObject -Class Win32_ShareName                                      Path                                      Description----                                      ----                                      -----------ADMIN$                                    C:Windows                                远程管理C$                                        C:                                       默认共享D$                                        D:                                       默认共享E$                                        E:                                       默认共享IPC$                                                                                远程 IPCUsers                                     C:Users

同理,在cmd下,也可以

λ net share共享名       资源                            注解-------------------------------------------------------------------------------C$           C:                             默认共享D$           D:                             默认共享E$           E:                             默认共享IPC$                                         远程 IPCADMIN$       C:Windows                      远程管理Users        C:Users命令成功完成。

成立二个共享文件夹

疯狂的Powershell

# 共享名$ShareName = 'TestShare'# 共享路径$Path = 'D:SHARE'If (!(Get-WmiObject -Class Win32_Share -Filter "name='$ShareName'")) { $Shares = [WMICLASS]"WIN32_Share" $Shares.Create($Path,$ShareName,0).ReturnValue}else{Write-Warning "$ShareName has been sharing!!"}

假如假定你有长途机器的指挥者权限的话,也选拔WMI在长途的机器上创造新的共享文件夹,下边是在长距离主机上成立共享文件夹的代码:

# 共享名$ShareName = 'TestShare'# 共享路径$Path = 'D:SHARE'# 远程主机名$Server = 'Server'If (!(Get-WmiObject -Class Win32_Share -Filter "name='$ShareName'")) { $Shares = [WMICLASS]"\$Serverrootcimv2:WIN32_Share" $Shares.Create($Path,$ShareName,0).ReturnValue}else{Write-Warning "$ShareName has been sharing!!"}

低调的cmd

::建议先查看当前的共享文件夹再进行创建操作net share TestShare=D:SHARE /users:25 /remark:"test share of the a folder"

咱俩很轻松地就能够将一个文书夹的共享状态开启,咱们能够经过UNC路线对其进展走访。创设完文件共享之后,大家来探视怎么使用呢。

驱动器映射和共享访问

接下去,大家抛开图形化界面的操作(假设您非喜欢那么做的话,能够透过网络邻居【“互联网”】举办查看,只怕在管理器Logo下右键接纳映射互联网驱动器),大家来经过命令去启用吧。

强悍的Powershell

权且创办3个网络驱动器映射:

(New-Object -ComObject WScript.Network).MapNetworkDrive("Z:", "\TEST-PCUSERS")

创办二个长久化的网络驱动器映射:

# New-PSDrive 加上 -Persist 参数使得驱动器在 PowerShell 之外可见。# 要真正地创建一个永久的网络驱动器,请确保加上 -Scope Global。/# 如果 New-PSDrive 在全局作用域范围之外运行(例如,在一个脚本中运行),该驱动器只会在脚本运行时出现在文件管理器中。New-PSDrive -Name Z -PSProvider FileSystem -Root \TEST-PCUSERS -Persist -Scope Global

小巧的cmd

::下面这条命令虽然可以在cmd使用此磁盘映射,但是不可利用资源管理器加载。net use Z: \TEST-PCUSERS::这里是将systemroot文件夹映射为z:驱动器,可利用"explorer.exe"加载,可惜不能使用网络路径。subst Z: $env:systemroot

姣好如上的做事之后,不出意外,你的财富管理器会现出你想要访问的互联网路径的Logo。

剔除共享

假定无需再利用此共享文件夹了,能够卸载掉互连网驱动器,并在共享的主机上剔除该共享。

Powershell

$Shares = Get-WMIObject Win32_Share | Where {$_.Name -eq ""}Foreach ($Share in $Shares) {   $Share.Delete()}

cmd

net share TestShare /delete

小结

  1. 确立共享文件夹必要事先在启用互联网共享和开采。
  2. 亟需超前做好文件夹权限调整以及共享的权限决定。
  3. 透过陈设cmdkey可防止去身份表明
cmdkey /add:targetname /user:username /pass:password

Powershell管理共享的连带链接:...

本文转发地址:

导读 在Linux遭逢下,大家很随意就能够贯虱穿杨地由此命令操作壹切事物,在Windows下,Powershell也算...

其一病毒的熏染进程

paramiko

paramiko使用SSH二协议操作远程机器,是Python语言写的叁个模块。

张开WMI服务分界面

在起首-运转,输入services.msc,进入劳动

澳门新萄京官方网站 1

wmi启动.png

起步界面:

澳门新萄京官方网站 2

WMI.png

本文介绍怎样利用Python访问WMI,并假定你曾经下载并设置了pywin3二扩大模块和WMI Python模块。WMI是依附pywin3二库的扩张库,并且暴光了一些Python友好的分界面,以适应临时凌乱的WMI脚本API。pywin3②库运维注重于相应的MSVC情状,同不常间,python版本供给与MSVC一致。

1)Port 137 (UDP) - NetBIOS 名字服务 ; nmbd

2)Port 138 (UDP) - NetBIOS 数据报服务
3)Port 139 (TCP) - 文件和打印共享 ; smbd (基于SMB(Server Message Block)协议,主要在局域网中使用,文件共享协议)
4)Port 389 (TCP) - 用于 LDAP (Active Directory Mode)
5)Port 445 (TCP) - NetBIOS服务在windos 2000及以后版本使用此端口, (Common Internet File System,CIFS,它是SMB协议扩展到Internet后,实现Internet文件共享)

6)Port 901 (TCP) - 用于 SWAT,用于网页管理Samba  

windows系统之间的文件共享协议:NetBEUI(NetBIOS Extend User Interface)协议和IPX/SPX协议

NetBEUI协议是一种短小精悍、通信效率高的广播型协议,安装后不需要进行设置,特别适合于在“网络邻居”传送数据。

NETBEUI缺乏路由和网络层寻址功能,既是其最大的优点,也是其最大的缺点。因为它不需要附加的网络地址和网络层头尾,所以很快并很有效且适用于只有单个网络或整个环境都桥接起来的小工作组环境。

因为不支持路由,所以NETBEUI永远不会成为企业网络的主要协议。NETBEUI帧中唯一的地址是数据链路层媒体访问控制(MAC)地址,该地址标识了网卡但没有标识网络。路由器靠网络地址将帧转发到最终目的地,而NETBEUI帧完全缺乏该信息。

NetBEUI协议主要用于本地局域网中,一般不能用于与其他网络的计算机进行沟通。 

IPX/SPX (Internetwork Packet Exchange/Sequences Packet Exchange,Internet分组交换/顺序分组交换IPX/SPX)是Novell公司的通信协议集。与NetBEUI形成鲜明区别的是IPX/SPX比较庞大,在复杂环境下具有很强的适应性。这是因为IPX/SPX在设计一开始就考虑了网段的问题,因此它具有强大的路由功能,适合于大型网络使用。

IPX主要实现网络设备之间连接的建立维持和终止;SPX协议是IPX的辅助协议,主要实现发出信息的分组、跟踪分组传输,保证信息完整无缺的传输。 其中,IPX协议负责数据包的传送;SPX负责数据包传输的完整性。

LINUX系统之间文件共享 和 LIUNX与WINDOWS系统之间的文件共享:IBM SMB,服务器信息块协议

服务器信息块(SMB)协议是一种IBM协议,用于在计算机间共享文件、打印机、串口等。SMB协议可以用在因特网的TCP/IP协议之上,也可以用在其它网络协议如IPX和NetBEUI之上。


http://blog.csdn.net/wangsifu2009/article/details/6780749

------------------------------------------------------------------------------

安然集团趋势科学和技术的钻研人口开采了1款新的无文件挖矿恶意程序CoinMiner,那又是一款使用一定之蓝和WMI工具进行传播的软件。

安装

pip  install paramiko

连接

连接本地主机:

import wmi
c = wmi.WMI()

举例是接2连叁其余主机,必要增添该主机名参数:

import wmi
c = wmi.WMI("other_machine")

基于SMB/JCIFS协议的共享文件上传和下载(局域网中共享文件获取文件)  

SMB开始的一段时代是IBM的贝瑞·费根鲍姆(Barry Feigenbaum)研制的,其目标是将DOS操作系统中的当麻芋果件接口“中断一三”改动为网络文件系统。后来微软对这一个进化拓展了至关首要改换,这几个更动后的版本也是最广大的本子。微软将SMB协议与它和3Com一齐发展的网络管理程序结合在共同,并在Windows for Workgroups和新兴的Windows版本中不唯有进入新的效率。

CIFS (Common Internet File System) 通用Internet文件系统

 

  在windows主机之间张开网络文件共享是透过动用微软公司温馨的CIFS服务达成的。 

 

  CIFS 是二个新提议的情商,它使程序能够访问远程InternetComputer上的文件并需求此计算机的劳动。CIFS 使用客户/服务器格局。客户程序请求远在服务器上的服务器程序为它提供劳务。服务器得到请求并重回响应。CIFS是公私的或开放的SMB协议版本,并由Microsoft使用。SMB协议(见最后的名词解释)现在是局域英特网用于服务器文件访问和打字与印刷的协商。象SMB研讨同样,CIFS在高层运维,而不象TCP/IP协议这样运转在背后部分。CIFS能够当做是应用程序协议如文件传输协构和超文本传输协议的3个兑现。

 

  CIFS 能够让你达到以下职能: 

 

  一.访问服务器当半夏件并读写这个文件 

 

  二.与任何用户一齐共享一些文件块 

 

  三.在断线时自动恢复生机与网络的连接 

 

  四.利用西欧字符文件名 

 

  一般的话,CIFS使用户得到比FTP更加好的对文件的支配。它提供秘密的越来越直白地服务器程序接口,那比选拔HTTP协议的浏览器越来越好。CIFS最特异的利用是windows用户能够从“英特网邻居”中找到网络中的别的主机并走访个中的共享文件夹.

 

  CIFS 是开放的行业内部还要已经被当做Internet应用程序规范被交给到IETF。

JCIFS是CIFS 在JAVA中的3个落到实处,是samba组织担负维护开垦的二个开源体系,专注于选取java语言对cifs协议的设计和贯彻。他们将jcifs设计成为二个完完全全的,丰裕的,具备可扩展手艺且线程安全的客户端库。那一库能够运用于各样java虚拟机访问坚守CIFS/SMB网络传输协议的互联网财富。类似于java.io.File的接口情势,在10二线程的劳作办法下被验证是有效而易于选取的

Java代码 

  1. package com.smb;  
  2.   
  3. import java.io.BufferedInputStream;  
  4. import java.io.BufferedOutputStream;  
  5. import java.io.File;  
  6. import java.io.FileInputStream;  
  7. import java.io.FileOutputStream;  
  8. import java.io.IOException;  
  9. import java.io.InputStream;  
  10. import java.io.OutputStream;  
  11.   
  12. import jcifs.smb.SmbFile;  
  13. import jcifs.smb.SmbFileInputStream;  
  14. import jcifs.smb.SmbFileOutputStream;  
  15.   
  16. public class Smbtest {  
  17.     /** 
  18.      * 从局域网中国共产党享文件中赢得文件并保存在该地球磁性盘上 
  19.      * @param remoteUrl 共享Computer路线 如:smb//administrator:12345陆@17二.1陆.十.136/smb/12贰1.zip  , smb为共享文件 
  20.      * 注:要是直白出现延续不上,有提示报错,并且错误消息是 用户名活密码错误 则修改共享机器的文书夹选项 查看 去掉共享轻松文件夹的对勾就可以。 
  21.      * @param localDir 本地路线 如:D:/ 
  22.      */  
  23.     public static void smbGet(String remoteUrl,String localDir){  
  24.         InputStream in = null;  
  25.         OutputStream out = null;  
  26.         try {  
  27.             SmbFile smbFile = new SmbFile(remoteUrl);  
  28.             String fileName = smbFile.getName();  
  29.             File localFile = new File(localDir File.separator fileName);  
  30.             in = new BufferedInputStream(new SmbFileInputStream(smbFile));  
  31.             out = new BufferedOutputStream(new FileOutputStream(localFile));  
  32.             byte []buffer = new byte[1024];  
  33.             while((in.read(buffer)) != -1){  
  34.                 out.write(buffer);  
  35.                 buffer = new byte[1024];  
  36.             }  
  37.         } catch (Exception e) {  
  38.             e.printStackTrace();  
  39.         }finally{  
  40.             try {  
  41.                 out.close();  
  42.                 in.close();  
  43.             } catch (IOException e) {  
  44.                 e.printStackTrace();  
  45.             }  
  46.         }  
  47.     }  
  48.     /** 
  49.      * 把地面磁盘中的文件上传到局域网共享文件下 
  50.      * @param remoteUrl 共享计算机路线 如:smb//administrator:12345陆@17二.1陆.十.136/smb 
  51.      * @param localFilePath 本地路线 如:D:/ 
  52.      */  
  53.     public static void smbPut(String remoteUrl,String localFilePath){  
  54.         InputStream in = null;  
  55.         OutputStream out = null;  
  56.         try {  
  57.             File localFile = new File(localFilePath);  
  58.             String fileName = localFile.getName();  
  59.             SmbFile remoteFile = new SmbFile(remoteUrl "/" fileName);  
  60.             in = new BufferedInputStream(new FileInputStream(localFile));  
  61.             out = new BufferedOutputStream(new SmbFileOutputStream(remoteFile));  
  62.             byte []buffer = new byte[1024];  
  63.             while((in.read(buffer)) != -1){  
  64.                 out.write(buffer);  
  65.                 buffer = new byte[1024];  
  66.             }  
  67.         } catch (Exception e) {  
  68.             e.printStackTrace();  
  69.         }finally{  
  70.             try {  
  71.                 out.close();  
  72.                 in.close();  
  73.             } catch (IOException e) {  
  74.                 e.printStackTrace();  
  75.             }  
  76.         }  
  77.     }  
  78.       
  79.     public static void main(String[] args) {  
  80.         smbPut("smb://administrator:123456@172.16.10.136/smb", "E:/1221.zip");  
  81.         smbGet("smb://administrator:123456@172.16.10.136/smb/1221.zip", "D:/");  
  82.   
  83.     }  
  84.   
  85. }  

 

------------------------------------------------------------------------------

澳门新萄京官方网站 3

使用

使用主要总结施行命令,上传文件和下载文件。

查询

wmi模块最常见的用途正是对系统的消息进行查询:

import wmi
c = wmi.WMI()
for os in c.Win32_OperatingSystem():
  print os.Caption
'''
输出:
Microsoft Windows 7 旗舰版 
'''

查询磁盘详细消息:

#!/usr/bin/env python
# -*- coding: utf-8 -*-

import wmi

def toGB(size):
    return str(long(size)/1024**3)   "GB"

def disk():
    c = wmi.WMI ()
    #获取硬盘分区
    for physical_disk in c.Win32_DiskDrive ():
        for partition in physical_disk.associators ("Win32_DiskDriveToDiskPartition"):
            for logical_disk in partition.associators ("Win32_LogicalDiskToPartition"):
                print physical_disk.Caption, partition.Caption, logical_disk.Caption

disks = wmi.WMI ().Win32_LogicalDisk ()

disk()

for d in disks:
    print d.Caption,
        "TotalSize:",toGB(d.Size),
        "FreeSize:",toGB(d.FreeSpace),
        "FreeRate:%0.2f%%"%(100.0 * long (d.FreeSpace) / long (d.Size))

CoinMiner是1款无文件的恶心软件,它会使用WMI(Windows Management Instrumentation)在感染的系统上运转命令,专家称,那款软件很难检查测试,并且会使用固定之蓝举办传播。

连接

有三种办法连接到linux服务器。
方式一:

ssh = paramiko.SSHClient()
ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
ssh.connect("某IP地址",22,"用户名", "口令")

方式二:

t = paramiko.Transport(("主机","端口"))
t.connect(username = "用户名", password = "口令")

借使连接远程主机供给提供密钥,上边第3行代码可改为:

t.connect(username = "用户名", password = "口令", hostkey="密钥")

“这款软件会利用WMI做到在无文件的规范化下驻足系统。详细来讲,它会用WMI标准事件脚本程序(scrcons.exe)来实施脚本。为了进入目的种类,它会选用固定之蓝漏洞(MS17-010)。那四头的整合使得那款病毒不止隐蔽,而且社长久驻足。”

施行命令

import paramiko

ssh = paramiko.SSHClient()
ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
ssh.connect("某IP地址",22,"用户名", "口令")
stdin, stdout, stderr = ssh.exec_command("你的命令")
print stdout.readlines()
ssh.close()

传播特性

上传文件

import paramiko

t = paramiko.Transport(("主机","端口"))
t.connect(username = "用户名", password = "口令")
sftp = paramiko.SFTPClient.from_transport(t)
remotepath=’/var/log/system.log’
localpath=’/tmp/system.log’
sftp.put(localpath,remotepath)
t.close()

病毒先利用一定之蓝侵袭系统,然后在系统中放置后门,接着会运作几个WMI脚本,那几个脚本会连接到C&C服务器,然后拿走指令,下载挖矿机的宗旨程序和组件。

下载文件

import paramiko

t = paramiko.Transport(("主机","端口"))
t.connect(username = "用户名", password = "口令")
sftp = paramiko.SFTPClient.from_transport(t)
remotepath=’/var/log/system.log’
localpath=’/tmp/system.log’
sftp.get(remotepath, localpath)
t.close()

参照链接

澳门新萄京官方网站 4

WMI

WMI(Windows Management Instrumentation)用于管理windows机器。以下实例效能是实践长途机器的bat文件。

import wmi

# 远程执行bat文件
def call_remote_bat(ipaddress, username, password):
    try:
        pythoncom.CoInitialize()
        # 用wmi连接到远程服务器
        c = wmi.WMI(computer=ipaddress, user=username, password=password)
        filename = r"C:auto_login.bat"  # 此文件在远程服务器上
        # filename = r"C:agentdistmachine.exe"  # 此文件在远程服务器上
        cmd_callbat = r"cmd /c call %s" % filename
        c.Win32_Process.Create(CommandLine=cmd_callbat)  # 执行bat文件   Win32_Process.Create
        time.sleep(1)
    except:
        print('{}远程执行失败'.format(ipaddress))

参照链接:wmi教程,wmi实例

耳熟能详意况分布

pysmb

pysmb是客户端SMB /CIFS协议(SMB一和SMB贰)的纯Python达成,它是惠及在Windows机器之间开始展览文件共享和打字与印刷的尾巴部分协议,以及因此Samba服务器应用程序与Linux机器举行文件共享和打印。

  • 使用pip安装就能够:pip install pysmb
  • 需安装Twisted依赖包: pip install Twisted

那已经不是大家率先次见到病毒使用固定之蓝实行传播了,红极临时的WannaCry和NotPetya都以用了定位之蓝。二零一玖年二月发源ProofPoint的平安专家以致还称,有个别计算机之所以未有感染WannaCry病毒,是因为它们在此以前已经感染了Adylkuzz挖矿病毒,那些病毒同样也由此一定之蓝传播。

回顾利用

躲藏特征

创立二个走访对象,并树立连接.

from smb.SMBConnection import *

# username: 远程主机用户名  password: 远程主机密码
# my_name: 本机主机计算机名 remote_name: 远程主机计算机名
# ip: 远程主机ip
conn = SMBConnection(username, password, my_name, remote_name)
conn = conn.connect(ip)

WMI原本是Windows系统的着力组件,一般被用来拓展普通的治本任务,比方安顿自动化脚本,只怕在有个别时刻运作钦命的进度/程序,仍是可以获得安装的软件仍旧硬件消息、监察和控制文件夹变化、监察和控制磁盘空间等。便是依照它庞大的性情,WMI也屡遭了黑客们的尊崇。

常用方法。

  • servuce_name: 共享文件夹的名目
  • path: 新文件夹(相对于)共享文件夹的不二等秘书技。假使路线包涵非英文字符,则必须使用unicode字符串来传递路线。
  • timeout: pysmb将拭目以俟的秒数。
  • file_obj: 具备写入措施的类公事对象。

一. 创办新目录。

conn.createDirectory(service_name,path)

二. 去除空文件夹。

conn.deleteDirectory(service_name,path)

3. 删减文件。

conn.deleteFiles(service_name,path_file_pattern,timeout=30)

四. 重命名文件或文件夹。

# old_path: 旧文件名  new_path: 新文件名
conn.rename(service_name,old_path,new_path)

5. 拿走远程主机的共享能源列表。

file_list = conn.listShares(timeout = 30)
# 遍历获取共享文件名
for file in file.list:
    print(file.name)

6. 上传文件到长途主机。

conn.storeFile(service_name,path,file_obj, timeout=30)

CoinMiner的“无文件本性”正是映将来它利用了WMI脚本来试行命令,而非2进制文件,那使得杀毒软件更难检查测试。

实例

from smb.SMBConnection import *

def send_file(username, password, my_name, remote_name, ip, file_dir, file_dir_remote):
    """
    pysmb下发脚本
    :param username: 远程主机用户名
    :param password: 远程主机密码
    :param my_name: 本地计算机名
    :param remote_name: 远程计算机名
    :param ip: 远程ip
    :param file_dir: 要传输的文件夹本地地址
    :param file_dri_remote: 上传位置相对于c盘的路径
    :return: 
    """
    try:
        # 创建pysmb访问对象
        conn = SMBConnection(username, password, my_name, remote_name)
        # 创建pysmb连接
        conn.connect(ip)
        # 提取文件名或目录正则
        pattern = re.compile(r'.*/(.*)')
        # 读取文件对象
        file_obj = open(file_dir, 'rb')
        # 远程文件名
        file_name = file_dir_remote   pattern.search(file_dir).group(1)
        # 传输文件到远程主机
        conn.storeFile('C$', file_name, file_obj)
        file_obj.close()
    except:
        print('{}远程传输文件失败'.format(ip))
    time.sleep(1)
    call_remote_bat(ip, username, password)
    try:
        conn.deleteFiles('C$', file_name)
    except:
        print('{}远程删除文件失败'.format(ip))
    conn.close()

参照链接

除开,为了到达隐蔽的目标,研究人口还开采,软件钻探所使用的JScript表明,攻击者使用了多层C&C服务器,到达赶快翻新服务器和零部件,相同的时间又制止被检查测试到的指标。

澳门新萄京官方网站 5

C&C网址

举个例子,第壹等级的C&C服务器在hxxp://wmi[.]澳门新萄京官方网站文件夹共享及磁盘映射,服务使用的端口和协议。mykings[.]top:8888/test[.]html,这里有关于挖矿机及其零部件的下载地址,还应该有第二第一等第的C&C服务器地址。趋势科学和技术术检查测到那个网站以后仍在活跃。在耳闻则诵流程图中涉及,真正的挖矿payload是通过TROJ_COINMINE奥迪Q三.AUSWQ下载的,那些文件一齐先放在hxxp://六柒[.]21[.]90[.]226:8888/32.zip。

防备措施

要守护CoinMiner,我们的章程之1正是打补丁也许剥夺SMBv1协议。那样就能够防止病毒感染。另1种思路正是禁止使用WMI。

读者能够参照微软提交的携带:

关闭SMBv1

关闭WMI

此外,对于那类病毒的检查测试或许并不像趋势科学技术描述的如此困难,感兴趣的读者也能够尝尝运用Yara规则在上边包车型大巴路子中相称脚本文件:

C:WindowsSystem32wbem*.MOF

IoC

6315657FD523118F51E294E35158F6BD89D032B26FE7749A4DE985EDC81E5F86 (TROJ_CONMINER.CFG)

674F2DF2CDADAB5BE61271550605163A731A2DF8F4C79732481CAD532F00525D (TROJ_COINMINER.AUSWQ)

8c5bb89596cd732af59693b8da021a872fee9b3696927b61d4387b427834c461 (TROJ_CONMINER.CFG)

A095F60FF79470C99752B73F8286B78926BC46EB2168B3ECD4783505A204A3B0 (BKDR_FORSHARE.A)

E6fc79a24d40aea81afdc7886a05f008385661a518422b22873d34496c3fb36b (BKDR_FORSHARE.B)

F37A0D5F11078EF296A7C032B787F8FA485D73B0115CBD24D62CDF2C1A810625 (TROJ64_COINMINER.QO)

URL

ftp[.]oo000oo[.]me

wmi[.]mykings[.]top:8888

本文由澳门新萄京官方网站发布于www.8455.com,转载请注明出处:澳门新萄京官方网站文件夹共享及磁盘映射,服

关键词: