Eilen iltapäivällä huomasin yhtäkkiä, ettei verkkosivustoa voinut avata, tarkistin syyn ja huomasin, ettei etätietokantaporttia voitu avata, joten kirjauduin sisään etätietokantapalvelimelle.
Huomasin, että MySQL-palvelu on pysähtynyt ja suorittimen kapasiteetti on 100 %, kuten seuraavassa kuvassa näkyy:
Suorittimen käyttöasteen lajittelussa havaittiin, että "win1ogins.exe" kuluttaa eniten resursseja, eli 73 % prosessorista, henkilökohtaisen kokemukseni mukaan tämän pitäisi olla louhintaohjelmistoa, joka louhii XMR Moneroa!
Löysin myös "MyBu.exe" Yiyu-prosessin, ja mietin, milloin palvelin latasi Yiyu-kielellä kirjoitetun ohjelman? Kuten alla on esitetty:
Napsauta hiiren oikealla "MyBu.exe" avataksesi tiedoston sijainnin, kansion sijainnin: C:\Windows, lajittele ajan mukaan ja löydä kolme uutta tiedostoa, kuten alla on esitetty:
1ndy.exe, MyBu.exe, Mzol.exe asiakirjat
Nähdessäni nämä oudot tiedostot ajattelin, että palvelin olisi pitänyt hakkeroida, katsoin Windowsin lokit ja huomasin, että kirjautumislokit oli poistettu, ja palvelin oli todella hakkeroitu!
Yritimme "win1ogins.exe" oikealla klikkauksella prosessia ja avata tiedoston sijainnin, mutta huomasimme, ettei sitä voinut avata!! Ei reaktiota! Kaikki hyvin! Työkalut!!
Käyttämäni työkalu on "PCHunter64.exe", etsi ja lataa se itse
Kansio, jossa "win1ogins.exe" sijaitsee, on: C:\Windows\Fonts\system(x64)\ kuten alla olevassa kuvassa näkyy:
Emme löydä tätä kansiota Explorerista, kuten alla näkyy:
Seuraavassa operaatiossa kopioin 3 virus-troijalaista tiedostoa juuri ostamalleni palvelimelle operaatiota varten!!
Kopioin virustiedoston uudelle palvelimelleni ja yritin avata MyBu.exe tiedoston, ja huomasin, että MyBu.exe oli itse poistettu! Ja louhintaohjelmisto julkaistaan, tiedämme, että Explorer ei voi avata tiedostopolkua,
Yritimme käyttää Windowsin uuden version mukana tulevaa powershell-työkalua ja huomasimme, että louhintaohjelmisto on olemassa, ja kansioita on kolme
(Huomaa, että normaalitilanteessa: C:\Windows\Fonts ei sisällä kansioita sen alla!!)
Asensin FD:n pakettien kaappaustyökalun palvelimelleni, yritimme avata "1ndy.exe"-ohjelmiston, löysimme sen ja yritimme päästä käsiksi: http://221.229.204.124:9622/9622.exe pitäisi ladata uusin virustroijalainen
Nyt verkkosivusto on saavuttamattomissa.
Yritimme avata "Mzol.exe"-ohjelmistoa, mutta huomasimme, ettei ohjelma tiennyt, mitä se halusi tehdä. Avaamme ohjelman Muistiolevyllä, kuten alla on esitetty:
LogonServer.exe Peli-shakki ja kortit GameServer.exe Baidu tappoi pehmeästi BaiduSdSvc.exe löysivät S-U:n ServUDaemon.exe räjäyttämisessä DUB.exe skannauksessa 1433:ssa 1433.exe kanojen pyydystämisessä S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process Ei tietoa Aloitin kirjautumisen SOFTWARE:\Microsoft\Windows\CurrentVersion\Suorita C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll MUUT yhteydet VARATTU yhteydet PROXY-yhteydet LAN-yhteydet MODEM-yhteydet NULL CTXOPConntion_Class 3389 Porttinumero SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Ei löydetty Oletus RDP-TCP Kirjoittaja: Shi Yonggang, email:pizzq@sina.com
Itse arvelen, että "Mzol.exe" ja "1ndy.exe" ovat itse asiassa sama asia, vain ero uuden ja vanhan version välillä!
Katsotaanpa win1ogins.exe ohjelmiston käynnistysparametreja, kuten alla on esitetty:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Jos todella louhimme XMR Moneroa, avaamme louhintapoolin osoitteen: https://supportxmr.com/ Hae lompakon osoite, kuten alla olevassa kuvassa näkyy:
Laskemme tulot laskentatehon mukaan, kaivamme 0,42 kolikkoa päivässä ja laskemme yli 1 000 nykyisen markkinan mukaan, päivittäinen tulo on todennäköisesti yli 500 juania!
Tietenkin Monero on myös noussut yli 2 000 yuaniin!
Mitä tulee siihen, miten poistaa "win1ogins.exe" louhintavirus, PCHunter64-ohjelma voi poistaa louhintaviruksen manuaalisesti! Pelkkä prosessin lopettaminen ei auta, olen puhdistanut viruksen palvelimellani manuaalisesti.
Tietenkin on parempi jättää viruksen poistaminen muiden tehtäväksi, sillä en ole ammattilainen tässä!
Lopuksi liitä kolme virustiedostoa ja avaa salasana A123456
1ndy.zip
(1.29 MB, Latausten määrä: 12, 售价: 1 粒MB)
(Loppu)
|
Julkaistu 4.4.2018 12.37.15
|
|
|
|
