Vakar po pietų staiga pastebėjau, kad svetainės nepavyko atidaryti, patikrinau priežastį ir pastebėjau, kad nuotolinio duomenų bazės prievado atidaryti nepavyko, todėl prisijungiau prie nuotolinio duomenų bazės serverio.
Radau, kad MySQL paslauga sustojo ir nustatė, kad procesorius užima 100%, kaip parodyta šiame paveikslėlyje:
Rūšiuojant procesoriaus užimtumą, buvo nustatyta, kad "win1ogins.exe" sunaudoja daugiausiai išteklių, užima 73% procesoriaus, remiantis asmenine patirtimi, tai turėtų būti kasybos programinė įranga, kuri yra kasti XMR Monero!
Aš taip pat atradau procesą "MyBu.exe" Yiyu, ir aš pagalvojau, kada serveris įkelti programą parašyta Yiyu? Kaip parodyta žemiau:
Dešiniuoju pelės mygtuku spustelėkite "MyBu.exe", kad atidarytumėte failo vietą, aplanko vietą: C:\Windows, tada rūšiuokite pagal laiką ir raskite 3 naujus failus, kaip parodyta toliau:
1ndy.exe, MyBu.exe, Mzol.exe dokumentai
Matydamas šiuos keistus failus, pajutau, kad serveris turėjo būti nulaužtas, pažvelgiau į "Windows" žurnalus ir radau, kad prisijungimo žurnalai buvo ištrinti, o serveris tikrai buvo nulaužtas!
Mes bandėme "win1ogins.exe" dešiniuoju pelės mygtuku spustelėkite procesą ir atidaryti failo vietą, bet nustatėme, kad jo nepavyko atidaryti! Jokios reakcijos! Gerai! Įrankiai !!
Mano naudojamas įrankis yra "PCHunter64.exe", tiesiog ieškokite ir atsisiųskite patys
Aplankas, kuriame yra "win1ogins.exe", yra: C:\Windows\Fonts\system(x64)\, kaip parodyta paveikslėlyje žemiau:
Negalime rasti šio aplanko "Explorer", kaip parodyta toliau:
Ši operacija, aš nukopijuoti 3 virusų Trojos failus į mano naujai įsigytą serverį operacijai!
Nukopijavau viruso failą į naujai įsigytą serverį, tada bandžiau atidaryti MyBu.exe failą ir pastebėjau, kad MyBu.exe buvo savaime ištrintas! Ir kasybos programinė įranga yra išleista, mes žinome, kad naršyklė negali atidaryti failo kelio,
Bandėme naudoti "Powershell" įrankį, kuris pateikiamas su nauja "Windows" versija, ir nustatėme, kad kasybos programinė įranga egzistuoja ir yra 3 aplankai
(Atkreipkite dėmesį, kad įprastomis aplinkybėmis: C:\Windows\Fonts neturi jokių aplankų!!)
Savo serveryje įdiegiau FD paketų fiksavimo įrankį, bandėme atidaryti "1ndy.exe" programinę įrangą, radome ją ir bandėme pasiekti: http://221.229.204.124:9622/9622.exe turėtų atsisiųsti naujausią virusą Trojos arklys
Dabar svetainė nepasiekiama.
Mes bandėme atidaryti "Mzol.exe" programinę įrangą ir nustatėme, kad programa nežinojo, ką ji nori daryti. Mes atidarome programą naudodami Notepad, kaip parodyta žemiau:
LogonServer.exe Žaidimas-šachmatai ir kortos GameServer.exe Baidu nužudyti minkštas BaiduSdSvc.exe rado S-U ServUDaemon.exe sprogdinimo DUB.exe nuskaitymo 1433 1433.exe gaudyti viščiukus S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korėjos kapsulė AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info Pradėta prisijungti prie SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll KITI ryšiai UŽIMTI ryšiai TARPINIAI ryšiai LAN ryšiai MODEMO ryšiai NULL CTXOPConntion_Class 3389 Prievado numeris SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Neaptikta Numatytasis KPP-TCP Autorius: Shi Yonggang, email:pizzq@sina.com
Asmeniškai spėju, kad "Mzol.exe" ir "1ndy.exe" iš tikrųjų yra tas pats dalykas, tik skirtumas tarp naujos versijos ir senosios versijos!
Pažvelkime win1ogins.exe į programinės įrangos paleidimo parametrus, kaip parodyta toliau:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Jei tikrai išgauname XMR Monero, atidarome kasybos baseino adresą: https://supportxmr.com/ Užklauskite piniginės adreso, kaip parodyta paveikslėlyje žemiau:
Mes apskaičiuojame pajamas pagal skaičiavimo galią, kasti 0,42 monetų per dieną ir apskaičiuoti daugiau nei 1,000 pagal dabartinę rinką, dienos pajamos tikriausiai yra daugiau nei 500 juanių!
Žinoma, Monero taip pat pakilo iki daugiau nei 2,000 juanių!
Kalbant apie tai, kaip pašalinti kasybos virusą "win1ogins.exe", programa "PCHunter64" gali pašalinti kasybos virusą rankiniu būdu! Tiesiog proceso pabaiga neveikia, rankiniu būdu išvaliau virusą savo serveryje.
Žinoma, geriau palikti tai padaryti kitiems, kad pašalintumėte virusą, juk aš nesu profesionalas!
Galiausiai pridėkite 3 virusų failus ir išpakuokite slaptažodį A123456
1ndy.zip
(1.29 MB, Atsisiuntimų skaičius: 12, 售价: 1 粒MB)
(Pabaiga)
|
Paskelbta 2018-04-04 12:37:15
|
|
|
|
