一张图引发的Mykings挖矿分析和溯源

本文为看雪论坛优秀文章看雪论坛作者ID：Risks‍‍这是由一张图启发所写成的一篇文章，文章主要记录了关于Mykings挖矿的分析和溯源过程，欢迎各位大佬指正。第一天 数据收集和整理没有说明，只有一张图：图中仅有一个域名不过也正是这个域名才有所发现，经访问该域名存活，并且存在相关文件，对所有涉及的数据进行整理后是这个样子的。其中ups.dat是通过js.1226bye.xyz:280得v.sct脚本内容获取，v.sct的内容如下图所示。有意思的是ups.dat是一个自解压文件，包含的文件信息如下图。upx.exe也是采用了同样的方法存储了内部的文件，文件内容如图所示。最后提取这三个文件，挨个看一看到底是个什么情况。首先来看一看n.vbs，n.vbs内容相对简单，就是启动位于%temp%目录下的 ………………………………