어제 오후에 갑자기 웹사이트가 열리지 않는다는 것을 발견했고, 원인을 확인해 보니 원격 데이터베이스 포트가 열리지 않아 원격 데이터베이스 서버에 로그인했습니다.
MySQL 서비스가 중단되었고 CPU가 100% 점유되어 있음을 확인했습니다. 아래 그림에서 확인할 수 있습니다:
CPU 점유 정렬 결과, "win1ogins.exe"이 가장 많은 자원을 차지하며 CPU의 73%를 차지하는 것으로 나타났습니다. 개인적인 경험에 따르면 이 소프트웨어는 채굴 소프트웨어여야 하며, XMR 모네로를 채굴하는 것입니다!
또한 Yiyu의 'MyBu.exe' 과정을 발견했고, 서버가 Yiyu로 작성된 프로그램을 언제 업로드했는지 궁금해졌습니다. 아래에 나와 있습니다:
"MyBu.exe"를 우클릭해 파일 위치, 폴더 위치: C:\Windows를 열고 시간별로 정렬하면 아래 사진과 같이 3개의 새 파일을 찾으세요:
1ndy.exe, MyBu.exe, Mzol.exe 문서
이상한 파일들을 보고 서버가 해킹당한 것 같다는 생각이 들었고, 윈도우 로그를 확인해보니 로그인 로그가 삭제되어 있었고, 서버가 정말 해킹당한 거였어요!
프로세스를 "win1ogins.exe" 클릭해 파일 위치를 열어보려 했지만, 열 수 없었습니다!! 반응 없어! 좋습니다! 도구!!
제가 사용하는 도구는 "PCHunter64.exe"이고, 직접 검색해서 다운로드하면 됩니다
"win1ogins.exe"가 위치한 폴더는 아래 그림과 같이 C:\Windows\Fonts\system(x64)\입니다:
아래 사진과 같이 익스플로러에서 이 폴더를 찾을 수 없습니다:
다음 작업에서는 새로 구입한 서버에 3개의 바이러스 트로이 목마 파일을 복사해 작동시켰습니다!!
바이러스 파일을 새로 산 서버에 복사한 뒤 파일을 열어보니 MyBu.exe 스스로 삭제된 MyBu.exe 있었습니다! 그리고 채굴 소프트웨어가 출시되면, 탐색기가 파일 경로를 열 수 없다는 것을 알고 있습니다.
새 버전의 윈도우에 포함된 PowerShell 도구를 사용해 보았는데, 채굴 소프트웨어가 존재하며 폴더가 3개 있었습니다
(일반적인 상황에서는 C:\Windows\Fonts 아래에 폴더가 없습니다!!)
서버에 FD 패킷 캡처 도구를 설치했고, "1ndy.exe" 소프트웨어를 열어보았는데 찾아서 접근해 보았습니다: http://221.229.204.124:9622/9622.exe 최신 바이러스 트로이 목마를 다운로드하고 있어야 합니다
지금은 웹사이트에 접근할 수 없습니다.
"Mzol.exe" 소프트웨어를 열어보려 했지만 프로그램이 무엇을 하려는지 모르는 것을 알게 되었습니다. 아래와 같이 메모장으로 프로그램을 시작합니다:
LogonServer.exe 게임체스와 카드GameServer.exe 바이두가 소프트 BaiduSdSvc.exe S-ServUDaemon.exe U를 발견했는데, 1433 DUB.exe 폭파 1433.exe 닭 잡기 S.exe 마이크로소프트 안티바이러스 mssecess.exe 빠른 힐 QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe 한국 캡슐 AYAgent.aye 트래픽 오레스 Miner.exe 트렌드 TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 안티바이러스 K7TSecurity.exe QQ 컴퓨터 버틀러 QQPCRTP.exe 킹소프트 가디언 ksafe.exe 노턴 안티바이러스 rtvscan.exe Avast 네트워크 보안 ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 안티바이러스 360sd.exe 360 보안 요원 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s 로그인 시작 RtlGetNtVersionNumbers ntdll.dll 기타 연결 사용 중인 연결 프록시 연결 LAN 연결 모뎀 연결 NULL CTXOPConntion_Class 3389 포트번호 시스템\CurrentControlSet\Control\Terminal Server\WinStations\%s 발견되지 않음 기본 RDP-TCP 저자: 시용강, email:pizzq@sina.com
개인적으로 "Mzol.exe"과 "1ndy.exe"은 사실 같은 의미인 것 같아요, 단지 새 버전과 옛 버전의 차이일 뿐이죠!
아래와 win1ogins.exe같이 소프트웨어의 시작 매개변수를 살펴보겠습니다:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
XMR 모네로를 실제로 채굴한다면, 채굴 풀 주소를 엽니다: https://supportxmr.com/ 아래 그림과 같이 지갑 주소를 조회하세요:
우리는 계산 능력에 따라 수입을 계산하고, 하루에 0.42개의 동전을 캐고, 현재 시장을 기준으로 1,000개 이상을 계산합니다. 일일 수입은 아마 500위안 이상일 것입니다!
물론, 모네로도 2,000위안 이상으로 올랐습니다!
"win1ogins.exe" 채굴 바이러스를 제거하는 방법에 대해서는, PCHunter64 프로그램이 수동으로 채굴 바이러스를 제거할 수 있습니다! 단순히 과정을 종료하는 것은 효과가 없고, 서버에서 바이러스를 수동으로 제거했습니다.
물론, 바이러스를 제거하는 일은 다른 사람에게 맡기는 것이 더 낫습니다. 저는 전문가가 아니니까요!
마지막으로 바이러스 파일 3개를 첨부하고 비밀번호를 압축 해제하세요A123456
1ndy.zip
(1.29 MB, 다운로드 횟수: 12, 售价: 1 粒MB)
(끝)
|
게시됨 2018. 4. 4. 오후 12:37:15
|
|
|
|
