Gestern Nachmittag stellte ich plötzlich fest, dass die Website nicht geöffnet werden konnte, überprüfte den Grund und stellte fest, dass der entfernte Datenbankport nicht geöffnet werden konnte, also loggte ich mich beim entfernten Datenbankserver an.
Ich habe festgestellt, dass der MySQL-Dienst gestoppt hat und festgestellt hat, dass die CPU 100 % belegt, wie in der folgenden Abbildung gezeigt:
Bei der CPU-Belegungssortierung wurde festgestellt, dass "win1ogins.exe" die meisten Ressourcen verbraucht und 73 % der CPU einnimmt; laut persönlicher Erfahrung sollte dies Mining-Software sein, nämlich XMR Monero!
Ich habe auch den Prozess von "MyBu.exe" Yiyu entdeckt und dachte, wann hat der Server das in Yiyu geschriebene Programm hochgeladen? Wie unten gezeigt:
Rechtsklick auf "MyBu.exe", um den Dateistandort zu öffnen, Ordnerplatz: C:\Windows, und sortiere dann nach Zeit, um 3 neue Dateien zu finden, wie unten gezeigt:
1ndy.exe, MyBu.exe, Mzol.exe Dokumente
Als ich diese seltsamen Dateien sah, hatte ich das Gefühl, dass der Server gehackt worden sein sollte. Ich schaute in die Windows-Logs und stellte fest, dass die Login-Logs gelöscht worden waren und der Server wirklich gehackt war!
Wir haben versucht, mit win1ogins.exe der rechten Maustaste auf den Prozess zu klicken und den Dateistandort zu öffnen, aber wir haben festgestellt, dass er nicht geöffnet werden kann!! Keine Reaktion! Alles klar! Werkzeuge!!
Das Tool, das ich benutze, heißt "PCHunter64.exe", einfach selbst suchen und herunterladen
Der Ordner, in dem sich "win1ogins.exe" befindet, lautet: C:\Windows\Fonts\system(x64)\, wie in der untenstehenden Abbildung dargestellt:
Wir können diesen Ordner im Explorer nicht finden, wie unten gezeigt:
Bei der nächsten Operation kopiere ich 3 Virus-Trojanerdateien auf meinen neu gekauften Server zur Bedienung!!
Ich kopierte die Virusdatei auf meinen neu gekauften Server und versuchte dann, MyBu.exe Datei zu öffnen, und stellte fest, dass MyBu.exe selbst gelöscht worden war! Und die Mining-Software wird veröffentlicht, wir wissen, dass der Explorer den Dateipfad nicht öffnen kann,
Wir haben versucht, das Powershell-Tool zu verwenden, das mit der neuen Windows-Version geliefert wird, und festgestellt, dass die Mining-Software existiert und es drei Ordner gibt
(Beachte, dass unter normalen Umständen: C:\Windows\Fonts keine Ordner darunter hat!!)
Ich habe das FD-Paketerfassungs-Tool auf meinem Server installiert, wir haben versucht, die "1ndy.exe"-Software zu öffnen, es gefunden und versucht, darauf zuzugreifen: http://221.229.204.124:9622/9622.exe sollte den neuesten Virus-Trojaner herunterladen
Jetzt ist die Website nicht mehr zugänglich.
Wir versuchten, die "Mzol.exe"-Software zu öffnen, und stellten fest, dass das Programm nicht wusste, was es tun wollte. Wir öffnen das Programm mit Notepad, wie unten gezeigt:
LogonServer.exe Spielschach und Karten GameServer.exe Baidu Soft BaiduSdSvc.exe S-U ServUDaemon.exe beim Bombardieren von DUB.exe beim Scannen von 1433 1433.exe beim Fangen von Hühnern S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info hat sich bei SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows 1ndy.exe\ Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s angemeldet. RtlGetNtVersionsnummern ntdll.dll ANDERE Verbindungen BUSY connections PROXY-Verbindungen LAN-Verbindungen MODEMVERBINDUNGEN NULL CTXOPConntion_Class 3389 Portnummer SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\%s Nicht entdeckt Standard-RDP-TCP Autor: Shi Yonggang, email:pizzq@sina.com
Persönlich denke ich, dass "Mzol.exe" und "1ndy.exe" eigentlich dasselbe sind, nur der Unterschied zwischen der neuen und der alten Version!
Werfen wir win1ogins.exe einen Blick auf die Startparameter der Software, wie unten gezeigt:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Wenn wir wirklich XMR Monero minen, öffnen wir die Mining-Pool-Adresse: https://supportxmr.com/ Abfrage der Adresse der Wallet, wie in der untenstehenden Abbildung gezeigt:
Wir berechnen das Einkommen entsprechend der Rechenleistung, graben 0,42 Münzen pro Tag und berechnen mehr als 1.000 laut aktuellem Markt, das Tageseinkommen liegt wahrscheinlich bei über 500 Yuan!
Natürlich ist auch Monero auf über 2.000 Yuan gestiegen!
Was das Entfernen des "win1ogins.exe"-Mining-Virus angeht, kann das Programm PCHunter64 den Mining-Virus manuell entfernen! Einfach den Prozess zu beenden funktioniert nicht, ich habe den Virus auf meinem Server manuell gereinigt.
Natürlich ist es besser, es anderen zu überlassen, das Virus zu entfernen – schließlich bin ich kein Profi darin!
Zum Schluss fügen Sie 3 Virendateien an und entpacken Sie das Passwort A123456
1ndy.zip
(1.29 MB, Anzahl der Downloads: 12, 售价: 1 粒MB)
(Ende)
|
Veröffentlicht am 04.04.2018 12:37:15
|
|
|
|
