Ontem à tarde, de repente percebi que o site não podia ser aberto, verifiquei o motivo e percebi que a porta remota do banco de dados não podia ser aberta, então entrei no servidor remoto do banco de dados.
Descobri que o serviço MySQL parou e percebi que a CPU está ocupando 100%, como mostrado na figura a seguir:
Na ordenação de ocupação de CPU, foi constatado que "win1ogins.exe" consome mais recursos, ocupando 73% da CPU; segundo minha experiência pessoal, isso deveria ser mineração de software, que é minerar XMR Monero!
Também descobri o processo de "MyBu.exe" Yiyu e pensei: quando o servidor enviou o programa escrito em Yiyu? Como mostrado abaixo:
Clique com o botão direito em "MyBu.exe" para abrir a localização do arquivo, localização da pasta: C:\Windows e então ordene por tempo, e encontre 3 novos arquivos, como mostrado abaixo:
1ndy.exe, MyBu.exe, Mzol.exe documentos
Ao ver esses arquivos estranhos, achei que o servidor deveria ter sido hackeado, olhei nos logs do Windows e descobri que os logs de login tinham sido deletados, e o servidor foi realmente hackeado!
Tentamos clicar com o botão direito win1ogins.exe no processo e abrir a localização do arquivo, mas descobrimos que não conseguia ser aberto!! Sem reação! Está bem! Ferramentas!!
A ferramenta que uso é "PCHunter64.exe", é só pesquisar e baixar você mesmo
A pasta onde "win1ogins.exe" está localizada é: C:\Windows\Fonts\system(x64)\ como mostrado na figura abaixo:
Não conseguimos encontrar essa pasta no Explorador, como mostrado abaixo:
Na operação seguinte, copiei 3 arquivos de vírus Trojan para meu servidor recém-comprado para operação!!
Copiei o arquivo de vírus para o meu servidor recém-comprado e tentei abrir MyBu.exe arquivo, e descobri que MyBu.exe havia sido deletado sozinho! E o software de mineração é liberado, sabemos que o explorador não consegue abrir o caminho do arquivo,
Tentamos usar a ferramenta PowerShell que vem com a nova versão do Windows, e descobrimos que o software de mineração existe, com 3 pastas
(Note que, em circunstâncias normais: C:\Windows\Fonts não possui nenhuma pasta abaixo!!)
Instalei a ferramenta de captura de pacotes FD no meu servidor, tentamos abrir o software "1ndy.exe", encontramos e tentamos acessar: http://221.229.204.124:9622/9622.exe deveria estar baixando o último vírus Trojan
Agora o site está inacessível.
Tentamos abrir o software "Mzol.exe" e descobrimos que o programa não sabia o que queria fazer. Abrimos o programa com o Notepad, como mostrado abaixo:
LogonServer.exe Jogo-xadrez e cartas GameServer.exe Baidu matam BaiduSdSvc.exe macios encontrou S-U ServUDaemon.exe ao explodir DUB.exe ao escanear 1433 1433.exe em capturar galinhas S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Cápsula Coreana AYAgent.aye Tráfego Ore Miner.exe Tendência TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivírus K7TSecurity.exe QQ Computador Mordomo QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivírus rtvscan.exe Avast Segurança de Rede ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInicialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process Nenhuma informação Iniciou login em SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll OUTRAS conexões CONEXÕES ocupadas conexões proxy conexões LAN conexões modem NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Não descoberto RDP-TCP padrão Autor: Shi Yonggang, email:pizzq@sina.com
Pessoalmente, acho que "Mzol.exe" e "1ndy.exe" são na verdade a mesma coisa, só que a diferença entre a nova versão e a antiga!
Vamos win1ogins.exe dar uma olhada nos parâmetros de inicialização do software, conforme mostrado abaixo:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Se realmente minerarmos XMR Monero, abrimos o endereço do pool de mineração: https://supportxmr.com/ Consulta o endereço da carteira, como mostrado na figura abaixo:
Calculamos a renda de acordo com o poder computacional, cavamos 0,42 moedas por dia e calculamos mais de 1.000 segundo o mercado atual, a renda diária provavelmente ultrapassa 500 yuans!
Claro, o Monero também já ultrapassou 2.000 yuans!
Quanto a como remover o vírus de mineração "win1ogins.exe", o programa PCHunter64 pode remover o vírus de mineração manualmente! Simplesmente encerrar o processo não funciona, eu limpei manualmente o vírus no meu servidor.
Claro, é melhor deixar para os outros fazerem a remoção do vírus, afinal, eu não sou profissional nisso!
Por fim, anexe 3 arquivos de vírus e descompacte a senha A123456
1ndy.zip
(1.29 MB, Número de downloads: 12, 售价: 1 粒MB)
(Fim)
|
Publicado em 04/04/2018 12:37:15
|
|
|
|
