Gisterenmiddag ontdekte ik plotseling dat de website niet geopend kon worden, controleerde de reden en ontdekte dat de poort voor de externe database niet geopend kon worden, dus logde ik in op de externe databaseserver.
Ik merkte dat de MySQL-dienst is gestopt en dat de CPU 100% bezet is, zoals te zien is in de volgende figuur:
Bij het sorteren van CPU-bezetting bleek dat "win1ogins.exe" de meeste middelen verbruikt, namelijk 73% van de CPU; volgens persoonlijke ervaring zou dit miningsoftware moeten zijn, namelijk het mijnen van XMR Monero!
Ik ontdekte ook het proces van "MyBu.exe" Yiyu, en ik dacht: wanneer heeft de server het programma dat in Yiyu is geschreven geüpload? Zoals hieronder getoond:
Klik met de rechtermuisknop op "MyBu.exe" om de bestandslocatie te openen, maplocatie: C:\Windows en sorteer dan op tijd, en vind 3 nieuwe bestanden, zoals hieronder weergegeven:
1ndy.exe, MyBu.exe, Mzol.exe documenten
Toen ik deze vreemde bestanden zag, vond ik dat de server gehackt had moeten worden, ik keek in de Windows-logs en zag dat de loginlogs waren verwijderd en dat de server echt gehackt was!
We probeerden met de rechtermuisknop op het proces te klikken met win1ogins.exe de rechtermuisknop en de bestandslocatie te openen, maar ontdekten dat het niet te openen was!! Geen reactie! OK! Tools!!
De tool die ik gebruik is "PCHunter64.exe", zoek gewoon zelf en download het
De map waar "win1ogins.exe" zich bevindt is: C:\Windows\Fonts\system(x64)\ zoals weergegeven in de onderstaande figuur:
We kunnen deze map niet vinden in Verkenner, zoals hieronder te zien is:
Bij de volgende operatie kopieer ik 3 virus-trojanbestanden naar mijn nieuw aangeschafte server voor gebruik!!
Ik kopieerde het virusbestand naar mijn nieuw aangeschafte server en probeerde MyBu.exe bestand te openen, en ontdekte dat MyBu.exe zelf was verwijderd! En de miningsoftware is vrijgegeven, we weten dat de verkenner het bestandspad niet kan openen,
We probeerden de powershell-tool te gebruiken die bij de nieuwe Windows-versie wordt geleverd, en ontdekten dat de mining-software bestaat en dat er 3 mappen zijn
(Let op dat onder normale omstandigheden: C:\Windows\Fonts geen mappen eronder heeft!!)
Ik heb de FD packet capture-tool op mijn server geïnstalleerd, we probeerden de "1ndy.exe"-software te openen, vonden hem en probeerden toegang te krijgen: http://221.229.204.124:9622/9622.exe zou de nieuwste virustrojan moeten downloaden
Nu is de website niet meer toegankelijk.
We probeerden de "Mzol.exe"-software te openen en ontdekten dat het programma niet wist wat het wilde doen. We openen het programma met Notepad, zoals hieronder getoond:
LogonServer.exe Spel-schaak en kaarten GameServer.exe Baidu de zachte BaiduSdSvc.exe vond S-U ServUDaemon.exe bij het DUB.exe scannen van 1433 1433.exe bij het vangen van kippen S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info, is begonnen met inloggen op SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersieNummers ntdll.dll ANDERE verbindingen BUSY verbindingen PROXYVERBINDINGEN LAN-verbindingen MODEMVERBINDINGEN NULL CTXOPConntion_Class 3389 Portnummer SYSTEEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Niet ontdekt Standaard RDP-TCP Auteur: Shi Yonggang, email:pizzq@sina.com
Persoonlijk denk ik dat "Mzol.exe" en "1ndy.exe" eigenlijk hetzelfde zijn, alleen het verschil tussen de nieuwe en de oude versie!
Laten we win1ogins.exe bekijken de opstartparameters van de software, zoals hieronder weergegeven:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Als we echt XMR Monero minen, openen we het mining pool-adres: https://supportxmr.com/ Zoek het adres van de wallet op, zoals weergegeven in de onderstaande figuur:
We berekenen het inkomen volgens de rekenkracht, graven 0,42 munten per dag, en rekenen meer dan 1.000 volgens de huidige markt, het dagelijkse inkomen is waarschijnlijk meer dan 500 yuan!
Natuurlijk is Monero ook gestegen tot meer dan 2.000 yuan!
Wat betreft het verwijderen van het "win1ogins.exe" mining-virus, kan het PCHunter64-programma het miningvirus handmatig verwijderen! Het simpelweg beëindigen van het proces werkt niet, ik heb het virus handmatig op mijn server schoongemaakt.
Natuurlijk is het beter om het aan anderen over te laten om het virus te verwijderen, ik ben tenslotte geen professional in dit alles!
Tot slot voeg je 3 virusbestanden toe en pak je het wachtwoord A123456
1ndy.zip
(1.29 MB, Aantal downloads: 12, 售价: 1 粒MB)
(Einde)
|
Geplaatst op 04-04-2018 12:37:15
|
|
|
|
