[原文] 「win1ogins.exe」マイニングトロイの木馬の分析

クズども · 掲載地 2018/04/04 12:37:15

昨日の午後、突然ウェブサイトが開けなくなり、原因を確認したところ、リモートのデータベースポートが開けなかったので、リモートのデータベースサーバーにログインしました。
MySQLサービスが停止し、CPUが100%占有していることがわかりました。以下の図に示されています:

CPU占有率のソートでは、「win1ogins.exe」が最も多くのリソースを消費し、CPUの73%を占めていることがわかりました。個人的な経験では、これはXMRモネロをマイニングするマイニングソフトウェアであるべきです!

また、Yiyuの「MyBu.exe」プロセスも発見し、サーバーがYiyuで書かれたプログラムをいつアップロードしたのかと考えました。以下に示すように:

「MyBu.exe」を右クリックすると、ファイル先、フォルダ先:C:\Windowsを開き、時間順に並べ替えると、以下の通り3つの新しいファイルを見つけられます。

1ndy.exe、MyBu.exe、Mzol.exe文書

これらの奇妙なファイルを見て、サーバーがハッキングされているのではないかと感じました。Windowsのログを確認すると、ログインログは削除されており、サーバー自体が本当にハッキングされていたのです!

プロセスを「win1ogins.exe」して右クリックしてファイルの場所を開こうとしましたが、開けないことがわかりました!! 反応なし! 大丈夫です！道具!!

私が使っているツールは「PCHunter64.exe」で、自分で検索してダウンロードすればいいです

「win1ogins.exe」があるフォルダは以下の図のようにC:\Windows\Fonts\system(x64)\です。

以下のように、このフォルダはエクスプローラーで見つかりません。

次の操作では、新しく購入したサーバーに3つのウイルストロイの木馬ファイルをコピーして動作させました!!

ウイルスファイルを新しく購入したサーバーにコピーし、MyBu.exeファイルを開こうとしたところ、MyBu.exeが自己削除されていました! そしてマイニングソフトウェアがリリースされると、エクスプローラーがファイルパスを開けないことがわかっています。

新しいWindowsバージョンに付属しているPowerShellツールを試してみたところ、マイニングソフトが存在し、3つのフォルダがあることがわかりました

（通常、C:\Windows\Fontsの下にフォルダは存在しません!!）

サーバーにFDパケットキャプチャツールをインストールし、「1ndy.exe」ソフトウェアを開いてみたところ、見つけてアクセスしようとしました:http://221.229.204.124:9622/9622.exe 最新のウイルストロイの木馬をダウンロードしているはずです

現在、そのウェブサイトはアクセス不能になっています。

「Mzol.exe」ソフトウェアを開こうとしましたが、プログラムが何をしたいのか分かっていませんでした。以下のようにNotepadでプログラムを開きます。

LogonServer.exeゲームチェスとカードGameServer.exe百度がソフトなBaiduSdSvc.exeを殺し、S-ServUDaemon.exe Uが1433のスキャンでDUB.exeを爆破し、マイクロソフトのウイルス対策mssecess.exe S.exe鶏を捕まえたの1433.exe、Dr. An V3 QUHLPSVC.EXE V3Svc.exe Dr. Ahn patray.exe韓国カプセルAYAgent.aye トラフィックオレ Miner.exeトレンド TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 アンチウイルス K7TSecurity.exe QQ コンピュータバトラー QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process no info SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll その他の接続忙しい接続プロキシ接続 LAN接続モデム接続 NULL CTXOPConntion_Class 3389 ポート番号システム\CurrentControlSet\Control\Terminal Server\WinStations\%s 発見されませんでしたデフォルトのRDP-TCP

著者:石永剛、email:pizzq@sina.com

個人的には、「Mzol.exe」と「1ndy.exe」は実は同じもので、新しいバージョンと古いバージョンの違いだと思います!

以下のようにソフトウェアの起動パラメータを見てみましょうwin1ogins.exe:

C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1

もし本当にXMRモネロをマイニングするなら、マイニングプールのアドレスを開きます。https://supportxmr.com/ 下の図のようにウォレットのアドレスを照会します:

収入は計算能力に基づいて計算し、1日0.42コインを掘り、現在の市場では1,000枚以上を計算します。1日収入はおそらく500元以上でしょう!

もちろん、モネロも2,000元以上に上昇しています!

「win1ogins.exe」マイニングウイルスの除去方法については、PCHunter64プログラムが手動でマイニングウイルスを除去できます! 単にプロセスを終了しても効果がなく、サーバー上のウイルスを手動でクリーンアップしました。

もちろん、ウイルスを除去するのは他の人に任せる方が良いです。私は専門家ではありませんから!
最後に、3つのウイルスファイルを添付してパスワードを解凍しますA123456

1ndy.zip (1.29 MB, ダウンロード数: 12, 售价: 1 粒MB)

(終わり)

[原文] 「win1ogins.exe」マイニングトロイの木馬の分析

関連記事

閲覧したセクション