Vakar pēcpusdienā es pēkšņi atklāju, ka vietni nevar atvērt, pārbaudīju iemeslu un atklāju, ka attālo datu bāzes portu nevar atvērt, tāpēc es pieteicos attālajā datu bāzes serverī.
Es atklāju, ka MySQL pakalpojums ir apstājies, un atklāju, ka CPU aizņem 100%, kā parādīts šajā attēlā:
CPU aizņemtības kārtošanā tika konstatēts, ka "win1ogins.exe" patērē visvairāk resursu, aizņemot 73% no CPU, saskaņā ar personīgo pieredzi tai vajadzētu būt kalnrūpniecības programmatūrai, kas ir iegūt XMR Monero!
Es arī atklāju "MyBu.exe" Yiyu procesu, un es domāju, kad serveris augšupielādēja programmu, kas rakstīta Yiyu? Kā parādīts zemāk:
Ar peles labo pogu noklikšķiniet uz "MyBu.exe", lai atvērtu faila atrašanās vietu, mapes atrašanās vietu: C: \ Windows un pēc tam kārtojiet pēc laika un atrodiet 3 jaunus failus, kā parādīts tālāk:
1ndy.exe, MyBu.exe, Mzol.exe dokumenti
Redzot šos dīvainos failus, es jutu, ka serverim vajadzēja uzlauzt, es paskatījos Windows žurnālos un atklāju, ka pieteikšanās žurnāli ir izdzēsti, un serveris patiešām tika uzlauzts!
Mēs mēģinājām ar peles labo pogu win1ogins.exe noklikšķināt uz procesa un atvērt faila atrašanās vietu, bet atklājām, ka to nevar atvērt! Nav reakcijas! Viss kārtībā! Instrumenti !!
Rīks, ko es izmantoju, ir "PCHunter64.exe", vienkārši meklējiet un lejupielādējiet to pats
Mape, kurā atrodas "win1ogins.exe", ir: C:\Windows\Fonts\system(x64)\, kā parādīts zemāk redzamajā attēlā:
Mēs nevaram atrast šo mapi pārlūkprogrammā Explorer, kā parādīts tālāk:
Veicot šādu darbību, es kopēju 3 vīrusu Trojas zirgu failus uz manu tikko iegādāto serveri darbībai!
Es nokopēju vīrusu failu savā nesen iegādātajā serverī un pēc tam mēģināju atvērt MyBu.exe failu un atklāju, ka MyBu.exe ir izdzēsts! Un kalnrūpniecības programmatūra tiek izlaista, mēs zinām, ka pētnieks nevar atvērt faila ceļu,
Mēs mēģinājām izmantot powershell rīku, kas nāk kopā ar jauno Windows versiju, un atklājām, ka kalnrūpniecības programmatūra pastāv, un ir 3 mapes
(Ņemiet vērā, ka parastos apstākļos: C:\Windows\Fonts zem tā nav mapju!!)
Es savā serverī instalēju FD pakešu uztveršanas rīku, mēs mēģinājām atvērt programmatūru "1ndy.exe", atradām to un mēģinājām piekļūt: http://221.229.204.124:9622/9622.exe vajadzētu lejupielādēt jaunāko vīrusu Trojas zirgu
Tagad vietne nav pieejama.
Mēs mēģinājām atvērt programmatūru "Mzol.exe" un atklājām, ka programma nezina, ko tā vēlas darīt. Mēs atveram programmu ar Notepad, kā parādīts tālāk:
LogonServer.exe Spēļu šahs un kārtis GameServer.exe Baidu nogalināt mīksto BaiduSdSvc.exe atrada S-U ServUDaemon.exe spridzināšanas DUB.exe skenēšanā 1433 1433.exe cāļu ķeršanā S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korejas kapsula AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info Sāka pieteikties vietnē SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll CITI savienojumi AIZŅEMTIE savienojumi STARPNIEKSERVERA savienojumi LAN savienojumi MODEMA savienojumi NULL CTXOPConntion_Class 3389 Porta numurs SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Nav atklāts Noklusējuma RDP-TCP Autors: Shi Yonggang, email:pizzq@sina.com
Personīgi es domāju, ka "Mzol.exe" un "1ndy.exe" patiesībā ir viens un tas pats, tikai atšķirība starp jauno versiju un veco versiju!
Ļaujiet win1ogins.exe apskatīt programmatūras startēšanas parametrus, kā parādīts tālāk:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Ja mēs patiešām iegūstam XMR Monero, mēs atveram ieguves baseina adresi: https://supportxmr.com/ Vaicājiet maka adresi, kā parādīts zemāk redzamajā attēlā:
Mēs aprēķinām ienākumus pēc skaitļošanas jaudas, izrakt 0,42 monētas dienā un aprēķināt vairāk nekā 1,000 saskaņā ar pašreizējo tirgu, dienas ienākumi, iespējams, ir vairāk nekā 500 juaņas!
Protams, Monero ir palielinājies arī līdz vairāk nekā 2,000 juaņām!
Kas attiecas uz to, kā noņemt kalnrūpniecības vīrusu "win1ogins.exe", programma PCHunter64 var noņemt kalnrūpniecības vīrusu manuāli! Vienkārši procesa izbeigšana nedarbojas, es manuāli iztīrīju vīrusu savā serverī.
Protams, labāk ir atstāt to darīt citiem, lai noņemtu vīrusu, galu galā es neesmu profesionālis, lai to darītu!
Visbeidzot, pievienojiet 3 vīrusu failus un izsaiņojiet paroli A123456
1ndy.zip
(1.29 MB, Lejupielādes skaits: 12, 售价: 1 粒MB)
(Beigas)
|
Publicēts 04.04.2018 12:37:15
|
|
|
|
