Wczoraj po południu nagle zauważyłem, że strony nie da się otworzyć, sprawdziłem przyczynę i okazało się, że port zdalnej bazy danych nie da się otworzyć, więc zalogowałem się na zdalny serwer bazy danych.
Zauważyłem, że usługa MySQL się zatrzymała i procesor zajmuje 100%, co pokazuje poniższy wykres:
W sortowaniu obsadzenia CPU stwierdzono, że "win1ogins.exe" zużywa najwięcej zasobów, zajmując 73% CPU, a według osobistego doświadczenia powinno to być oprogramowanie do kopania, czyli do wydobycia XMR Monero!
Odkryłem też proces "MyBu.exe" Yiyu i pomyślałem, kiedy serwer przesłał program napisany w Yiyu? Jak pokazano poniżej:
Kliknij prawym przyciskiem myszy na "MyBu.exe", aby otworzyć lokalizację pliku, lokalizację folderu: C:\Windows, a następnie posortuj według czasu i znajdź 3 nowe pliki, jak pokazano poniżej:
1ndy.exe, MyBu.exe, Mzol.exe dokumenty
Widząc te dziwne pliki, pomyślałem, że serwer powinien zostać zhakowany, sprawdziłem logi Windows i odkryłem, że logowania zostały usunięte, a serwer naprawdę został zhakowany!
Próbowaliśmy kliknąć prawym przyciskiem win1ogins.exe myszy na proces i otworzyć lokalizację pliku, ale okazało się, że nie da się go otworzyć!! Brak reakcji! W porządku! Narzędzia!!
Narzędziem, którego używam, jest "PCHunter64.exe", po prostu wyszukaj i pobierz je samodzielnie
Folder, w którym znajduje się "win1ogins.exe", to: C:\Windows\Fonts\system(x64)\ jak pokazano na poniższym rysunku:
Nie możemy znaleźć tego folderu w Explorerze, jak pokazano poniżej:
Następująca operacja: kopiuję 3 pliki trojana wirusa na nowo zakupiony serwer do działania!!
Skopiowałem plik wirusa na nowo zakupiony serwer, a potem spróbowałem otworzyć MyBu.exe plik i okazało się, że MyBu.exe został sam usunięty! Oprogramowanie do kopania zostało wydane, wiemy, że Explorer nie może otworzyć ścieżki do pliku,
Próbowaliśmy użyć narzędzia PowerShell, które jest dołączone do nowej wersji Windows, i okazało się, że istnieje oprogramowanie do wydobycia, a są tam 3 foldery
(Zwróć uwagę, że w normalnych okolicznościach: C:\Windows\Fonts nie ma żadnych folderów pod sobą!!)
Zainstalowałem narzędzie do przechwytywania pakietów FD na moim serwerze, próbowaliśmy otworzyć oprogramowanie "1ndy.exe", znaleźliśmy je i próbowaliśmy uzyskać dostęp: http://221.229.204.124:9622/9622.exe powinien pobierać najnowszego wirusa trojana
Teraz strona internetowa jest niedostępna.
Próbowaliśmy otworzyć oprogramowanie "Mzol.exe" i okazało się, że program nie wie, co chce zrobić. Program otwieramy za pomocą Notepada, jak pokazano poniżej:
LogonServer.exe Game-chess i karty GameServer.exe Baidu zabijają miękkie BaiduSdSvc.exe znalazły S-U ServUDaemon.exe w wybuchaniu DUB.exe w skanowaniu 1433 1433.exe w łapaniu kurczaków S.exe Microsoft Antivirus, mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process Brak informacji Rozpoczęto logowanie do SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbersNumbers ntdll.dll INNE połączenia ZAJĘTE połączenia połączenia PROXY połączenia LAN połączenia MODEM połączenia NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Nie odkryte Domyślny RDP-Tcp Autor: Shi Yonggang, email:pizzq@sina.com
Osobiście przypuszczam, że "Mzol.exe" i "1ndy.exe" to właściwie to samo, tylko różnica między nową a starą wersją!
Przyjrzyjmy win1ogins.exe parametry uruchamiania oprogramowania, jak pokazano poniżej:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Jeśli naprawdę wydobodujemy XMR Monero, otwieramy adres puli kopalnia: https://supportxmr.com/ Zapytaj adres portfela, jak pokazano na poniższym rysunku:
Obliczamy dochód według mocy obliczeniowej, kopiemy 0,42 monety dziennie i liczymy ponad 1 000 według obecnego rynku, dzienny dochód prawdopodobnie przekracza 500 juanów!
Oczywiście Monero również wzrosło do ponad 2000 juanów!
Jeśli chodzi o usunięcie wirusa "win1ogins.exe" do kopania, program PCHunter64 potrafi usunąć wirusa kopania ręcznie! Samo zakończenie procesu nie działa, ręcznie wyczyściłem wirusa z mojego serwera.
Oczywiście lepiej zostawić innym zadanie usunięcia wirusa, w końcu nie jestem w tym profesjonalistą!
Na koniec dołącz 3 pliki wirusa i rozpakuj hasło A123456
1ndy.zip
(1.29 MB, Liczba pobranych plików: 12, 售价: 1 粒MB)
(Koniec)
|
Opublikowano 04.04.2018 12:37:15
|
|
|
|
