Ayer por la tarde, de repente me di cuenta de que la web no podía abrirse, comprobé el motivo y descubrí que el puerto remoto de la base de datos no se podía abrir, así que inicié sesión en el servidor remoto de la base de datos.
He comprobado que el servicio MySQL se ha detenido y he comprobado que la CPU ocupa el 100%, como se muestra en la siguiente figura:
En la clasificación de ocupación de CPU, se encontró que "win1ogins.exe" consume más recursos, ocupando el 73% de la CPU; según experiencia personal, esto debería ser minería de software, que es minar XMR Monero.
También descubrí el proceso de "MyBu.exe" Yiyu, y pensé, ¿cuándo subió el servidor el programa escrito en Yiyu? Como se muestra a continuación:
Haz clic derecho en "MyBu.exe" para abrir la ubicación del archivo, la carpeta C:\Windows y luego ordena por tiempo, y encuentra 3 archivos nuevos, como se muestra a continuación:
1ndy.exe, MyBu.exe Mzol.exe documentos
Al ver esos archivos extraños, sentí que el servidor debería haber sido hackeado, miré en los registros de Windows y vi que los logs de inicio de sesión habían sido eliminados, ¡y el servidor realmente estaba hackeado!
Intentamos hacer clic derecho win1ogins.exe en el proceso y abrir la ubicación del archivo, pero descubrimos que no se podía abrir. ¡Sin reacción! ¡Muy bien! ¡Herramientas!
La herramienta que uso es "PCHunter64.exe", solo busca y descárgala tú mismo
La carpeta donde se encuentra "win1ogins.exe" es: C:\Windows\Fonts\system(x64)\ como se muestra en la figura siguiente:
No podemos encontrar esta carpeta en el Explorador, como se muestra a continuación:
En la siguiente operación, copié 3 archivos de troyano de virus a mi servidor recién comprado para que funcionaran.
Copié el archivo de virus a mi servidor recién comprado, luego intenté abrir MyBu.exe archivo y descubrí que MyBu.exe había sido eliminado por mi cuenta. Y el software de minería está liberado, sabemos que el explorador no puede abrir la ruta del archivo,
Intentamos usar la herramienta PowerShell que viene con la nueva versión de Windows, y descubrimos que el software de minería existe, y hay 3 carpetas
(Ten en cuenta que en circunstancias normales: C:\Windows\Fonts no tiene carpetas debajo!!)
Instalé la herramienta de captura de paquetes FD en mi servidor, intentamos abrir el software "1ndy.exe", lo encontramos e intentamos acceder: ¿http://221.229.204.124:9622/9622.exe debería estar descargando el último virus Troyano
Ahora la página web es inaccesible.
Intentamos abrir el software "Mzol.exe" y descubrimos que el programa no sabía qué quería hacer. Abrimos el programa con Notepad, como se muestra a continuación:
LogonServer.exe Game-chess y cartas GameServer.exe Baidu matan BaiduSdSvc.exe blandas encontró a S-U ServUDaemon.exe al disparar DUB.exe al escanear 1433 1433.exe en atrapar gallinas S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Cápsula Coreana AYAgent.aye Tráfico Ore Miner.exe Tendencia TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Information Ha iniciado sesión en SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll OTRAS conexiones CONEXIONES ocupadas Conexiones proxy CONEXIONES LAN Conexiones módem NULL CTXOPConntion_Class 3389 Número de puerto SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s No descubierto RDP-TCP por defecto Autor: Shi Yonggang, email:pizzq@sina.com
Personalmente, supongo que "Mzol.exe" y "1ndy.exe" son en realidad lo mismo, ¡solo que la diferencia entre la versión nueva y la antigua!
Veamos win1ogins.exe los parámetros de inicio del software, como se muestra a continuación:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Si realmente minamos XMR Monero, abrimos la dirección del pool de minería: https://supportxmr.com/ consultamos la dirección de la cartera, como se muestra en la figura de abajo:
Calculamos los ingresos según la potencia de cálculo, sacamos 0,42 monedas al día y calculamos más de 1.000 según el mercado actual, ¡el ingreso diario probablemente supere los 500 yuanes!
Por supuesto, Monero también ha superado los 2.000 yuanes.
En cuanto a cómo eliminar el virus de minería "win1ogins.exe", el programa PCHunter64 puede eliminar el virus de minería manualmente. Simplemente terminar el proceso no funciona, he limpiado manualmente el virus en mi servidor.
Por supuesto, es mejor dejar que otros lo hagan para eliminar el virus, ¡al fin y al cabo, no soy un profesional en esto!
Por último, adjunta 3 archivos de virus y descomprime la contraseña A123456
1ndy.zip
(1.29 MB, Número de descargas: 12, 售价: 1 粒MB)
(Fin)
|
Publicado en 4/4/2018 12:37:15
|
|
|
|
