I går ettermiddag oppdaget jeg plutselig at nettsiden ikke kunne åpnes, sjekket årsaken, og oppdaget at den eksterne databaseporten ikke kunne åpnes, så jeg logget inn på den eksterne databaseserveren.
Jeg oppdaget at MySQL-tjenesten har stoppet og oppdaget at CPU-en opptar 100 %, som vist i følgende figur:
I CPU-okkupasjonssorteringen ble det funnet at «win1ogins.exe» bruker mest ressurser, og opptar 73 % av CPU-en; ifølge personlig erfaring burde dette være mining-programvare, som er å mine XMR Monero!
Jeg oppdaget også prosessen med "MyBu.exe" Yiyu, og jeg tenkte, når lastet serveren opp programmet skrevet i Yiyu? Som vist nedenfor:
Høyreklikk på "MyBu.exe" for å åpne filplasseringen, mappeplassering: C:\Windows og sorter deretter etter tid, og finn 3 nye filer, som vist nedenfor:
1ndy.exe, MyBu.exe, Mzol.exe dokumenter
Da jeg så disse merkelige filene, følte jeg at serveren burde vært hacket, jeg så i Windows-loggene og fant at innloggingsloggene var slettet, og serveren var virkelig hacket!
Vi prøvde å "win1ogins.exe" høyreklikke på prosessen og åpne filplasseringen, men fant ut at den ikke kunne åpnes!! Ingen reaksjon! Greit! Verktøy!!
Verktøyet jeg bruker er "PCHunter64.exe", bare søk og last det ned selv
Mappen hvor "win1ogins.exe" befinner seg er: C:\Windows\Fonts\system(x64)\ som vist i figuren nedenfor:
Vi finner ikke denne mappen i Utforsker, som vist nedenfor:
I neste operasjon kopierer jeg 3 virus-trojanfiler til min nyinnkjøpte server for drift!!
Jeg kopierte virusfilen til den nylig kjøpte serveren min, og prøvde deretter å åpne filen MyBu.exe, og oppdaget at MyBu.exe hadde blitt selvslettet! Og gruveprogramvaren er frigitt, vi vet at utforskeren ikke kan åpne filstien,
Vi prøvde å bruke PowerShell-verktøyet som følger med den nye versjonen av Windows, og fant ut at mining-programvaren finnes, og det finnes 3 mapper
(Merk at under normale omstendigheter: C:\Windows\Fonts har ingen mapper under seg!!)
Jeg installerte FD-pakkefangstverktøyet på serveren min, vi prøvde å åpne "1ndy.exe"-programvaren, fant den og prøvde å få tilgang til: http://221.229.204.124:9622/9622.exe skal laste ned den nyeste virustrojaneren
Nå er nettsiden utilgjengelig.
Vi prøvde å åpne "Mzol.exe"-programvaren og fant ut at programmet ikke visste hva det ville gjøre. Vi åpner programmet med Notisblokk, som vist nedenfor:
LogonServer.exe Spill-sjakk og kort GameServer.exe Baidu dreper myke BaiduSdSvc.exe fant S-U ServUDaemon.exe i å sprenge DUB.exe i skanning av 1433 1433.exe i å fange høner S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Information begynte å logge inn på SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll ANDRE tilkoblinger TRAVEL-tilkoblinger PROXY-tilkoblinger LAN-tilkoblinger MODEM-tilkoblinger NULL CTXOPConntion_Class 3389 Portnummer SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Ikke oppdaget Standard RDP-TCP Forfatter: Shi Yonggang, email:pizzq@sina.com
Personlig antar jeg at «Mzol.exe» og «1ndy.exe» faktisk er det samme, bare forskjellen mellom den nye og den gamle versjonen!
La win1ogins.exe se på oppstartsparametrene til programvaren, som vist nedenfor:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Hvis vi virkelig miner XMR Monero, åpner vi mining pool-adressen: https://supportxmr.com/ Spør adressen til lommeboken, som vist i figuren nedenfor:
Vi beregner inntekten i henhold til datakraften, graver 0,42 mynter om dagen, og beregner mer enn 1 000 ifølge dagens marked, den daglige inntekten er sannsynligvis over 500 yuan!
Selvfølgelig har Monero også steget til over 2 000 yuan!
Når det gjelder hvordan man fjerner "win1ogins.exe"-mining-viruset, kan PCHunter64-programmet fjerne mining-viruset manuelt! Å bare avslutte prosessen fungerer ikke, jeg har manuelt renset viruset på serveren min.
Selvfølgelig er det bedre å overlate det til andre å fjerne viruset, tross alt er jeg ikke profesjonell på dette!
Til slutt, legg ved 3 virusfiler og pakk ut passordet A123456
1ndy.zip
(1.29 MB, Antall nedlastinger: 12, 售价: 1 粒MB)
(Slutt)
|
Publisert på 04.04.2018 12:37:15
|
|
|
|
