I går eftermiddag opdagede jeg pludselig, at hjemmesiden ikke kunne åbnes, tjekkede årsagen og opdagede, at den eksterne databaseport ikke kunne åbnes, så jeg loggede ind på den eksterne databaseserver.
Jeg fandt ud af, at MySQL-tjenesten er stoppet, og at CPU'en er optaget 100 %, som vist i følgende figur:
I CPU-belægningssorteringen blev det fundet, at "win1ogins.exe" bruger flest ressourcer og optager 73% af CPU'en; ifølge personlig erfaring burde dette være mining-software, som er at mine XMR Monero!
Jeg opdagede også processen "MyBu.exe" Yiyu, og jeg tænkte, hvornår uploadede serveren programmet skrevet i Yiyu? Som vist nedenfor:
Højreklik på "MyBu.exe" for at åbne filplaceringen, mappeplacering: C:\Windows og sorter derefter efter tid, og find 3 nye filer, som vist nedenfor:
1ndy.exe, MyBu.exe, Mzol.exe dokumenter
Da jeg så disse mærkelige filer, følte jeg, at serveren burde være blevet hacket, jeg kiggede i Windows-loggene og fandt ud af, at loginloggene var blevet slettet, og serveren var virkelig hacket!
Vi prøvede at "win1ogins.exe" højreklikke på processen og åbne filplaceringen, men fandt ud af, at den ikke kunne åbnes!! Ingen reaktion! All right! Værktøj!!
Det værktøj, jeg bruger, er "PCHunter64.exe", bare søg og download det selv
Mappen, hvor "win1ogins.exe" er placeret, er: C:\Windows\Fonts\system(x64)\ som vist i figuren nedenfor:
Vi kan ikke finde denne mappe i Stifinder, som vist nedenfor:
I den følgende operation kopierer jeg 3 virus-trojanfiler til min nyindkøbte server for at kunne bruge dem!!
Jeg kopierede virusfilen til min nyindkøbte server og prøvede derefter at åbne MyBu.exe filen, og fandt ud af, at MyBu.exe var selvslettet! Og mining-softwaren er frigivet, vi ved, at udforskeren ikke kan åbne filstien,
Vi prøvede at bruge powershell-værktøjet, der følger med den nye version af Windows, og fandt ud af, at mining-softwaren findes, og der er 3 mapper
(Bemærk, at under normale omstændigheder: C:\Windows\Fonts har ingen mapper under sig!!)
Jeg installerede FD-pakkefangstværktøjet på min server, vi prøvede at åbne "1ndy.exe"-softwaren, fandt den og forsøgte at få adgang til: http://221.229.204.124:9622/9622.exe burde downloade den nyeste virustrojaner
Nu er hjemmesiden utilgængelig.
Vi prøvede at åbne "Mzol.exe"-softwaren og fandt ud af, at programmet ikke vidste, hvad det ville. Vi åbner programmet med Notepad, som vist nedenfor:
LogonServer.exe Game-skak og kort GameServer.exe Baidu dræber bløde BaiduSdSvc.exe fandt S-U ServUDaemon.exe i at skyde DUB.exe i scanning 1433 1433.exe i at fange høns S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe koreansk kapsel AYAgent.aye trafik Miner.exe trend TMBMSRV.exe ke niu knsdtray.exe QQ QQ.exe K7 antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast netværkssikkerhed ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info begyndte at logge ind på SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionsnumre ntdll.dll ANDRE forbindelser BUSY forbindelser PROXYFORBINDELSER LAN-forbindelser MODEMFORBINDELSER NULL CTXOPConntion_Class 3389 Portnummer SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Ikke fundet Standard RDP-TCP Forfatter: Shi Yonggang, email:pizzq@sina.com
Personligt tror jeg, at "Mzol.exe" og "1ndy.exe" faktisk er det samme, bare forskellen mellem den nye og den gamle version!
Lad os win1ogins.exe se på opstartsparametrene for softwaren, som vist nedenfor:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Hvis vi virkelig miner XMR Monero, åbner vi mining pool-adressen: https://supportxmr.com/ Forespørg adressen på walleten, som vist i figuren nedenfor:
Vi beregner indkomsten ud fra regnekraften, graver 0,42 mønter om dagen og beregner mere end 1.000 ifølge det aktuelle marked, den daglige indkomst er sandsynligvis over 500 yuan!
Selvfølgelig er Monero også steget til over 2.000 yuan!
Hvad angår hvordan man fjerner "win1ogins.exe" mining-virussen, kan PCHunter64-programmet fjerne mining-virussen manuelt! At afslutte processen virker ikke bare, jeg har manuelt renset virussen på min server.
Selvfølgelig er det bedre at overlade det til andre at fjerne virusset, for jeg er jo ikke professionel til det!
Til sidst vedhæfter du 3 virusfiler og pakker adgangskoden ud A123456
1ndy.zip
(1.29 MB, Antal downloads: 12, 售价: 1 粒MB)
(Slut)
|
Opslået på 04/04/2018 12.37.15
|
|
|
|
