Ieri pomeriggio, improvvisamente ho scoperto che il sito web non poteva essere aperto, ho controllato il motivo e ho scoperto che la porta remota del database non si poteva aprire, così ho effettuato l'accesso al server del database remoto.
Ho scoperto che il servizio MySQL si è fermato e ho scoperto che la CPU occupa il 100%, come mostrato nella figura seguente:
Nell'ordinamento dell'occupazione della CPU, è stato riscontrato che "win1ogins.exe" consuma più risorse, occupando il 73% della CPU; secondo esperienza personale, questo dovrebbe essere il mining di software, cioè il mining di XMR Monero!
Ho anche scoperto il processo di "MyBu.exe" Yiyu, e ho pensato: quando il server ha caricato il programma scritto in Yiyu? Come mostrato di seguito:
Clicca con il tasto destro su "MyBu.exe" per aprire la posizione file, la posizione della cartella: C:\Windows, poi ordina per tempo e trova 3 nuovi file, come mostrato qui sotto:
1ndy.exe, MyBu.exe, Mzol.exe documenti
Vedendo questi strani file, ho pensato che il server avrebbe dovuto essere hackerato, ho guardato nei log di Windows e ho scoperto che i log di accesso erano stati cancellati, e il server era stato davvero hackerato!
Abbiamo provato a "win1ogins.exe" cliccare con il tasto destro sul processo e aprire la posizione del file, ma abbiamo scoperto che non si poteva aprire!! Nessuna reazione! Va bene! Strumenti!!
Lo strumento che uso è "PCHunter64.exe", basta cercarlo e scaricarlo tu stesso
La cartella in cui si trova "win1ogins.exe" è: C:\Windows\Fonts\system(x64)\ come mostrato nella figura sottostante:
Non riusciamo a trovare questa cartella in Esplora, come mostrato qui sotto:
Alla successiva operazione, copio 3 file di virus Trojan sul mio server appena acquistato per il mio utilizzo!!
Ho copiato il file del virus sul mio server appena acquistato, poi ho provato ad aprire MyBu.exe file, e ho scoperto che MyBu.exe era stato cancellato da solo! E il software di mining viene rilasciato, sappiamo che l'esploratore non può aprire il percorso del file,
Abbiamo provato a usare lo strumento PowerShell che viene fornito con la nuova versione di Windows, e abbiamo scoperto che il software di mining esiste, e ci sono 3 cartelle
(Nota che in circostanze normali: C:\Windows\Fonts non ha cartelle sotto!!)
Ho installato lo strumento FD per la cattura pacchetti sul mio server, abbiamo provato ad aprire il software "1ndy.exe", l'abbiamo trovato e abbiamo provato ad accedere: http://221.229.204.124:9622/9622.exe dovrebbe scaricare l'ultimo virus Trojan
Ora il sito web è inaccessibile.
Abbiamo provato ad aprire il software "Mzol.exe" e abbiamo scoperto che il programma non sapeva cosa volesse fare. Apriamo il programma con Notepad, come mostrato di seguito:
LogonServer.exe Game-chess e carte GameServer.exe Baidu uccidono BaiduSdSvc.exe morbide trovato S-U ServUDaemon.exe nel far saltare DUB.exe scansionare 1433 1433.exe nel catturare galline S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffico ore Miner.exe tendenza TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Information Ha iniziato ad accedere a SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll ALTRE connessioni CONNESSIONI occupate Connessioni proxy CONNESSIONI LAN Connessioni modem NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Non scoperto RDP-TCP predefinito Autore: Shi Yonggang, email:pizzq@sina.com
Personalmente, credo che "Mzol.exe" e "1ndy.exe" siano in realtà la stessa cosa, solo la differenza tra la nuova versione e la vecchia!
Diamo win1ogins.exe occhio ai parametri di avvio del software, come mostrato di seguito:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Se miniamo davvero XMR Monero, apriamo l'indirizzo del pool di mining: https://supportxmr.com/ Interrogiamo l'indirizzo del wallet, come mostrato nella figura sottostante:
Calcoliamo il reddito in base alla potenza di calcolo, scaviamo 0,42 monete al giorno e calcoliamo più di 1.000 secondo il mercato attuale, il reddito giornaliero probabilmente supera i 500 yuan!
Naturalmente, anche Monero è salito a oltre 2.000 yuan!
Per quanto riguarda come rimuovere il virus minerario "win1ogins.exe", il programma PCHunter64 può rimuovere manualmente il virus minerario! Semplicemente terminare il processo non funziona, ho pulito manualmente il virus sul mio server.
Certo, è meglio lasciare che siano altri a fare per rimuovere il virus, dopotutto, non sono un professionista in questo!
Infine, allega 3 file antivirus e scomprimi la password A123456
1ndy.zip
(1.29 MB, Numero di download: 12, 售价: 1 粒MB)
(Fine)
|
Pubblicato su 04/04/2018 12:37:15
|
|
|
|
