Hier après-midi, j’ai soudainement constaté que le site web ne pouvait pas être ouvert, j’ai vérifié la raison, et j’ai constaté que le port de la base de données distante ne pouvait pas être ouvert, alors je me suis connecté au serveur de base de données distant.
J’ai constaté que le service MySQL s’est arrêté et que le CPU occupe 100 %, comme montré sur la figure suivante :
Dans le tri de l’occupation CPU, il a été constaté que le « win1ogins.exe » consomme le plus de ressources, occupant 73 % du CPU ; selon mon expérience personnelle, il s’agit de miner des logiciels, c’est-à-dire de miner XMR Monero !
J’ai aussi découvert le processus de « MyBu.exe » Yiyu, et je me suis demandé : quand le serveur a-t-il téléchargé le programme écrit en Yiyu ? Comme montré ci-dessous :
Faites un clic droit sur « MyBu.exe » pour ouvrir l’emplacement du fichier, l’emplacement du dossier : C :\Windows, puis triez par heure, et trouvez 3 nouveaux fichiers, comme montré ci-dessous :
1ndy.exe, MyBu.exe, Mzol.exe documents
En voyant ces fichiers étranges, j’ai pensé que le serveur aurait dû être piraté, j’ai regardé dans les journaux Windows et j’ai découvert que les journaux de connexion avaient été supprimés, et que le serveur avait vraiment été piraté !
Nous avons essayé de faire un clic droit sur le processus en « win1ogins.exe » et d’ouvrir l’emplacement du fichier, mais on a constaté qu’il ne pouvait pas être ouvert !! Aucune réaction ! D’accord! Des outils !!
L’outil que j’utilise est « PCHunter64.exe », il suffit de chercher et de télécharger vous-même
Le dossier où se trouve « win1ogins.exe » est : C :\Windows\Fonts\system(x64)\ comme montré dans la figure ci-dessous :
Nous ne pouvons pas trouver ce dossier dans l’Explorateur, comme montré ci-dessous :
Lors de l’opération suivante, j’ai copié 3 fichiers de virus Trojan sur mon serveur nouvellement acheté pour les faire fonctionner !!
J’ai copié le fichier du virus sur mon serveur nouvellement acheté, puis j’ai essayé d’ouvrir MyBu.exe fichier, et j’ai découvert que MyBu.exe’avait été supprimé moi-même ! Et le logiciel de minage est sorti, nous savons que l’explorateur ne peut pas ouvrir le chemin du fichier,
Nous avons essayé d’utiliser l’outil PowerShell fourni avec la nouvelle version de Windows, et avons constaté que le logiciel de minage existait, et il y avait 3 dossiers
(Notez que dans des circonstances normales : C :\Windows\Fonts ne possède aucun dossier en dessous !!)
J’ai installé l’outil de capture de paquets FD sur mon serveur, nous avons essayé d’ouvrir le logiciel « 1ndy.exe », nous l’avons trouvé et avons essayé d’accéder à : http://221.229.204.124:9622/9622.exe devrais télécharger le dernier virus Trojan
Aujourd’hui, le site web est inaccessible.
Nous avons essayé d’ouvrir le logiciel « Mzol.exe » et avons constaté que le programme ne savait pas ce qu’il voulait faire. Nous ouvrons le programme avec Notepad, comme indiqué ci-dessous :
LogonServer.exe Jeux d’échecs et cartes GameServer.exe Baidu tuent les BaiduSdSvc.exe S-U ont trouvé des ServUDaemon.exe en tirant DUB.exe en scannant 1433 1433.exe en attrapant des poulets S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr Ahn patray.exe Capsule coréenne AYAgent.aye Traffic ore Miner.exe tendance TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s :%d :%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d* %sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c :\ %s kernel32.dll IsWow64Process No Info A commencé à se connecter à SOFTWARE\Microsoft\Windows\CurrentVersion\Run C :\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\ %s RtlGetNtVersionNumbers ntdll.dll AUTRES connexions CONNEXIONS occupées Connexions proxy connexions LAN CONNEXIONS modem NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ %s Non découvert RDP-TCP par défaut Auteur : Shi Yonggang, email:pizzq@sina.com
Personnellement, je suppose que « Mzol.exe » et « 1ndy.exe » sont en fait la même chose, juste la différence entre la nouvelle version et l’ancienne !
Regardons win1ogins.exe paramètres de démarrage du logiciel, comme montré ci-dessous :
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Si nous minons vraiment XMR Monero, nous ouvrons l’adresse du pool de minage : https://supportxmr.com/ interrogeons l’adresse du portefeuille, comme montré dans la figure ci-dessous :
Nous calculons le revenu selon la puissance de calcul, décreusons 0,42 pièce par jour, et calculons plus de 1 000 selon le marché actuel, le revenu quotidien dépasse probablement 500 yuans !
Bien sûr, Monero a également dépassé les 2 000 yuans !
Quant à la manière de supprimer le virus minage « win1ogins.exe », le programme PCHunter64 peut supprimer manuellement le virus de minage ! Simplement mettre fin au processus ne fonctionne pas, j’ai nettoyé manuellement le virus sur mon serveur.
Bien sûr, il vaut mieux laisser les autres s’en occuper pour éliminer le virus, après tout, je ne suis pas un professionnel dans ce domaine !
Enfin, joins 3 fichiers antivirus et décompresse le mot de passe A123456
1ndy.zip
(1.29 MB, Nombre de téléchargements: 12, 售价: 1 粒MB)
(Fin)
|
Publié sur 04/04/2018 12:37:15
|
|
|
|
