Včera odpoledne jsem náhle zjistil, že web nelze otevřít, zkontroloval důvod a zjistil jsem, že vzdálený databázový port nelze otevřít, tak jsem se přihlásil na vzdálený databázový server.
Zjistil jsem, že služba MySQL se zastavila a CPU je zabírán na 100 %, jak ukazuje následující obrázek:
Při třídění obsazenosti CPU bylo zjištěno, že "win1ogins.exe" spotřebovává nejvíce zdrojů, zabírá 73 % CPU, podle osobní zkušenosti by to měl být těžební software, který má těžit XMR Monero!
Objevil jsem také proces "MyBu.exe" Yiyu a přemýšlel jsem, kdy server nahrál program napsaný v Yiyu? Jak je uvedeno níže:
Klikněte pravým tlačítkem na "MyBu.exe" pro otevření umístění souboru, umístění složky: C:\Windows, poté seřaďte podle času a najděte 3 nové soubory, jak je uvedeno níže:
1ndy.exe, MyBu.exe, Mzol.exe dokumenty
Když jsem viděl tyto podivné soubory, měl jsem pocit, že server měl být hacknut, podíval jsem se do logů Windows a zjistil, že logy přihlášení byly smazány a server byl opravdu napaden!
Zkusili jsme kliknout pravým tlačítkem win1ogins.exe na proces a otevřít lokaci souboru, ale zjistili jsme, že ho nelze otevřít!! Žádná reakce! Dobře! Nástroje!!
Nástroj, který používám, je "PCHunter64.exe", stačí si ho vyhledat a stáhnout si ho sám
Složka, kde se nachází "win1ogins.exe", je: C:\Windows\Fonts\system(x64)\ jak je znázorněno na obrázku níže:
Tuto složku v Exploreru nemůžeme najít, jak je vidět níže:
Při následující operaci jsem zkopíroval 3 virové trojské soubory na nově zakoupený server pro provoz!!
Zkopíroval jsem virus na nově zakoupený server a pak jsem se pokusil otevřít MyBu.exe soubor, ale zjistil jsem, že MyBu.exe byl smazán sám! A těžební software je vydán, víme, že průzkumník nemůže otevřít cestu k souboru,
Zkoušeli jsme použít powershell nástroj, který je součástí nové verze Windows, a zjistili jsme, že těžební software existuje, a jsou tam 3 složky
(Za normálních okolností: C:\Windows\Fonts nemá pod sebou žádné složky!!)
Nainstaloval jsem na server nástroj FD pro zachycování paketů, zkusili jsme otevřít software "1ndy.exe", našli jsme ho a zkusili přístup: http://221.229.204.124:9622/9622.exe by měl stahovat nejnovější virus Trojan
Nyní je webová stránka nepřístupná.
Zkusili jsme otevřít software "Mzol.exe" a zjistili jsme, že program neví, co chce dělat. Program otevíráme pomocí Notepadu, jak je vidět níže:
LogonServer.exe Game-chess a karty GameServer.exe Baidu zabíjí měkké BaiduSdSvc.exe našel S-U ServUDaemon.exe při snižování DUB.exe při skenování 1433 1433.exe při chytání slepic S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info Začal jsem se přihlašovat do SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll JINÉ spojení OBSAZENÁ spojení PROXY připojení LAN připojení MODEM připojení NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Neobjeveno Výchozí RDP-Tcp Autor: Shi Yonggang, email:pizzq@sina.com
Osobně si myslím, že "Mzol.exe" a "1ndy.exe" jsou vlastně totéž, jen rozdíl mezi novou verzí a starou verzí!
Podívejme se win1ogins.exe na startovací parametry softwaru, jak je uvedeno níže:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Pokud skutečně těžíme XMR Monero, otevřeme adresu těžebního poolu: https://supportxmr.com/ Dotazujeme na adresu peněženky, jak je znázorněno na obrázku níže:
Počítáme příjmy podle výpočetního výkonu, denně vykopeme 0,42 mincí a podle aktuálního trhu počítáme více než 1 000, denní příjem je pravděpodobně přes 500 jüanů!
Samozřejmě, Monero také vzrostlo na více než 2 000 jüanů!
Co se týče odstranění těžebního viru "win1ogins.exe", program PCHunter64 dokáže těžební virus odstranit ručně! Pouhé ukončení procesu nefunguje, virus jsem ručně vyčistil na svém serveru.
Samozřejmě je lepší nechat to na ostatních, aby virus odstranili, koneckonců nejsem odborník na to!
Nakonec připojte 3 virové soubory a rozbalte heslo A123456
1ndy.zip
(1.29 MB, Počet stažení: 12, 售价: 1 粒MB)
(Konec)
|
Zveřejněno 04.04.2018 12:37:15
|
|
|
|
