Χθες το απόγευμα, ξαφνικά διαπίστωσα ότι ο ιστότοπος δεν μπορούσε να ανοίξει, έλεγξα τον λόγο και διαπίστωσα ότι η θύρα της απομακρυσμένης βάσης δεδομένων δεν μπορούσε να ανοίξει, οπότε συνδέθηκα στον απομακρυσμένο διακομιστή βάσης δεδομένων.
Διαπίστωσα ότι η υπηρεσία MySQL έχει σταματήσει και διαπίστωσα ότι η CPU καταλαμβάνει το 100%, όπως φαίνεται στο παρακάτω σχήμα:
Στην ταξινόμηση πληρότητας της CPU, διαπιστώθηκε ότι το "win1ogins.exe" καταναλώνει τους περισσότερους πόρους, καταλαμβάνοντας το 73% της CPU, σύμφωνα με προσωπική εμπειρία, αυτό θα έπρεπε να είναι λογισμικό εξόρυξης, το οποίο είναι η εξόρυξη XMR Monero!
Ανακάλυψα επίσης τη διαδικασία του "MyBu.exe" Yiyu και σκέφτηκα, πότε ο διακομιστής ανέβασε το πρόγραμμα γραμμένο σε Yiyu; Οπως φαίνεται παρακάτω:
Κάντε δεξί κλικ στο "MyBu.exe" για να ανοίξετε τη θέση του αρχείου, τη θέση του φακέλου: C: \ Windows και, στη συνέχεια, ταξινομήστε κατά χρόνο και βρείτε 3 νέα αρχεία, όπως φαίνεται παρακάτω:
1ndy.exe, MyBu.exe Mzol.exe έγγραφα
Βλέποντας αυτά τα περίεργα αρχεία, ένιωσα ότι ο διακομιστής έπρεπε να είχε χακαριστεί, κοίταξα στα αρχεία καταγραφής των Windows και διαπίστωσα ότι τα αρχεία καταγραφής σύνδεσης είχαν διαγραφεί και ο διακομιστής είχε πραγματικά χακαριστεί!
Προσπαθήσαμε να κάνουμε "win1ogins.exe" δεξί κλικ στη διαδικασία και να ανοίξουμε τη θέση του αρχείου, αλλά διαπιστώσαμε ότι δεν μπορούσε να ανοίξει!! Καμία αντίδραση! Εντάξει! Εργαλεία !!
Το εργαλείο που χρησιμοποιώ είναι το "PCHunter64.exe", απλώς αναζητήστε και κατεβάστε το μόνοι σας
Ο φάκελος στον οποίο βρίσκεται το "win1ogins.exe" είναι: C:\Windows\Fonts\system(x64)\ όπως φαίνεται στο παρακάτω σχήμα:
Δεν μπορούμε να βρούμε αυτόν τον φάκελο στον Explorer, όπως φαίνεται παρακάτω:
Η ακόλουθη λειτουργία, αντιγράφω 3 αρχεία Trojan ιών στον διακομιστή που αγόρασα πρόσφατα για λειτουργία!!
Αντέγραψα το αρχείο ιού στον διακομιστή που αγόρασα πρόσφατα και, στη συνέχεια, προσπάθησα να ανοίξω MyBu.exe αρχείο και διαπίστωσα ότι MyBu.exe είχε διαγραφεί από μόνο του! Και το λογισμικό εξόρυξης απελευθερώνεται, γνωρίζουμε ότι ο εξερευνητής δεν μπορεί να ανοίξει τη διαδρομή του αρχείου,
Προσπαθήσαμε να χρησιμοποιήσουμε το εργαλείο powershell που συνοδεύει τη νέα έκδοση των Windows, και διαπιστώσαμε ότι υπάρχει το λογισμικό εξόρυξης, και υπάρχουν 3 φάκελοι
(Σημειώστε ότι υπό κανονικές συνθήκες: C:\Windows\Fonts δεν έχει φακέλους κάτω από αυτό!!)
Εγκατέστησα το εργαλείο σύλληψης πακέτων FD στον διακομιστή μου, προσπαθήσαμε να ανοίξουμε το λογισμικό "1ndy.exe", το βρήκαμε και προσπαθήσαμε να αποκτήσουμε πρόσβαση: http://221.229.204.124:9622/9622.exe θα έπρεπε να κατεβάζουμε τον πιο πρόσφατο ιό Trojan
Τώρα ο ιστότοπος δεν είναι προσβάσιμος.
Προσπαθήσαμε να ανοίξουμε το λογισμικό "Mzol.exe" και διαπιστώσαμε ότι το πρόγραμμα δεν ήξερε τι ήθελε να κάνει. Ανοίγουμε το πρόγραμμα με το Σημειωματάριο, όπως φαίνεται παρακάτω:
LogonServer.exe Παιχνίδι-σκάκι και χαρτιά GameServer.exe Baidu σκοτώνουν μαλακά BaiduSdSvc.exe βρήκαν S-U ServUDaemon.exe στην ανατίναξη DUB.exe στη σάρωση 1433 1433.exe στην αλίευση κοτόπουλων S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Κορεατική κάψουλα AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process Δεν υπάρχουν πληροφορίες Ξεκίνησε η σύνδεση στο SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll ΑΛΛΕΣ συνδέσεις BUSY συνδέσεις PROXY Συνδέσεις LAN MODEM συνδέσεις NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Δεν εντοπίστηκε Προεπιλογή RDP-TCP Συγγραφέας: Shi Yonggang, email:pizzq@sina.com
Προσωπικά, υποθέτω ότι το "Mzol.exe" και το "1ndy.exe" είναι στην πραγματικότητα το ίδιο πράγμα, απλώς η διαφορά μεταξύ της νέας έκδοσης και της παλιάς έκδοσης!
Ας ρίξουμε win1ogins.exe ματιά στις παραμέτρους εκκίνησης του λογισμικού, όπως φαίνεται παρακάτω:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Εάν εξορύξουμε πραγματικά το XMR Monero, ανοίγουμε τη διεύθυνση της πισίνας εξόρυξης: https://supportxmr.com/ Ζητήστε τη διεύθυνση του πορτοφολιού, όπως φαίνεται στο παρακάτω σχήμα:
Υπολογίζουμε το εισόδημα σύμφωνα με την υπολογιστική ισχύ, σκάβουμε 0,42 νομίσματα την ημέρα και υπολογίζουμε περισσότερα από 1.000 σύμφωνα με την τρέχουσα αγορά, το ημερήσιο εισόδημα είναι πιθανώς πάνω από 500 γιουάν!
Φυσικά, το Monero έχει επίσης αυξηθεί σε περισσότερα από 2,000 γιουάν!
Όσο για το πώς να αφαιρέσετε τον ιό εξόρυξης "win1ogins.exe", το πρόγραμμα PCHunter64 μπορεί να αφαιρέσει τον ιό εξόρυξης με μη αυτόματο τρόπο! Ο απλός τερματισμός της διαδικασίας δεν λειτουργεί, έχω καθαρίσει χειροκίνητα τον ιό στον διακομιστή μου.
Φυσικά, είναι καλύτερα να το αφήσετε σε άλλους να το κάνουν για να αφαιρέσουν τον ιό, άλλωστε δεν είμαι επαγγελματίας σε αυτό!
Τέλος, επισυνάψτε 3 αρχεία ιών και αποσυμπιέστε τον κωδικό πρόσβασης A123456
1ndy.zip
(1.29 MB, Αριθμός λήψεων: 12, 售价: 1 粒MB)
(Τέλος)
|
Δημοσιεύτηκε στις 4/4/2018 12:37:15 μ.μ.
|
|
|
|
