Ieri după-amiază, am descoperit brusc că site-ul nu putea fi deschis, am verificat motivul și am descoperit că portul de bază de date la distanță nu putea fi deschis, așa că m-am conectat la serverul de baze de date la distanță.
Am constatat că serviciul MySQL s-a oprit și am constatat că CPU-ul ocupă 100%, așa cum se vede în următoarea figură:
În sortarea ocupării CPU-ului, s-a constatat că "win1ogins.exe" consumă cele mai multe resurse, ocupând 73% din CPU; conform experienței personale, aceasta ar trebui să fie minerirea software-ului, adică minarea XMR Monero!
Am descoperit și procesul "MyBu.exe" Yiyu și m-am gândit, când a încărcat serverul programul scris în Yiyu? Așa cum se arată mai jos:
Fă clic dreapta pe "MyBu.exe" pentru a deschide locația fișierului, a folderului: C:\Windows, apoi sortează după timp, și găsește 3 fișiere noi, așa cum se arată mai jos:
1ndy.exe, MyBu.exe, Mzol.exe documente
Văzând aceste fișiere ciudate, am simțit că serverul ar fi trebuit să fie spart, am căutat în jurnalele Windows și am descoperit că logurile de autentificare fuseseră șterse, iar serverul fusese cu adevărat spart!
Am încercat să facem clic dreapta win1ogins.exe pe proces și să deschidem locația fișierului, dar am constatat că nu se putea deschide!! Nicio reacție! În regulă! Unelte!!
Instrumentul pe care îl folosesc este "PCHunter64.exe", caută și descarcă singur
Folderul în care se află "win1ogins.exe" este: C:\Windows\Fonts\system(x64)\, așa cum este arătat în figura de mai jos:
Nu putem găsi acest folder în Explorer, așa cum se vede mai jos:
La următoarea operație, am copiat 3 fișiere troieni de viruși pe serverul meu recent achiziționat pentru funcționare!!
Am copiat fișierul de virus pe serverul meu recent cumpărat, apoi am încercat să deschid MyBu.exe fișier și am descoperit că MyBu.exe fost șters singur! Iar software-ul de minerit este lansat, știm că exploratorul nu poate deschide calea fișierului,
Am încercat să folosim instrumentul PowerShell care vine cu noua versiune de Windows și am descoperit că există software-ul de mining și sunt 3 foldere
(Rețineți că, în condiții normale: C:\Windows\Fonts nu are niciun folder sub el!!)
Am instalat instrumentul FD pentru capturarea pachetelor pe serverul meu, am încercat să deschidem software-ul "1ndy.exe", l-am găsit și am încercat să accesăm: http://221.229.204.124:9622/9622.exe ar trebui să descarc cel mai recent virus Trojan
Acum site-ul este inaccesibil.
Am încercat să deschidem software-ul "Mzol.exe" și am constatat că programul nu știa ce vrea să facă. Deschidem programul cu Notepad, așa cum se arată mai jos:
LogonServer.exe Joc-șah și cărți GameServer.exe Baidu elimină BaiduSdSvc.exe soft găsit S-U ServUDaemon.exe în a arunca DUB.exe în scanarea a 1433 1433.exe în prinderea găinilor S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Capsula Coreeană AYAgent.aye Trafic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Information A început să mă conecteze în SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll ALTE conexiuni CONEXIUNI ocupate Conexiuni proxy CONEXIUNI LAN CONEXIUNI MODEM NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Nedescoperit RDP-TCP implicit Autor: Shi Yonggang, email:pizzq@sina.com
Personal, cred că "Mzol.exe" și "1ndy.exe" sunt de fapt același lucru, doar diferența dintre noua versiune și cea veche!
Să win1ogins.exe analizăm parametrii de pornire ai software-ului, așa cum se arată mai jos:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Dacă chiar minăm XMR Monero, deschidem adresa pool-ului de minare: https://supportxmr.com/ interogăm adresa portofelului, așa cum se arată în figura de mai jos:
Calculăm venitul în funcție de puterea de calcul, scoatem 0,42 monede pe zi și calculăm peste 1.000 conform pieței actuale, venitul zilnic probabil depășește 500 de yuani!
Desigur, și Monero a crescut la peste 2.000 de yuani!
În ceea ce privește eliminarea virusului minerit "win1ogins.exe", programul PCHunter64 poate elimina virusul minier manual! Simpla încheiere a procesului nu funcționează, am curățat manual virusul de pe serverul meu.
Desigur, e mai bine să lași pe alții să se ocupe de eliminarea virusului, până la urmă, nu sunt un profesionist în asta!
În final, atașează 3 fișiere de viruși și deblochează parola A123456
1ndy.zip
(1.29 MB, Numărul de descărcări: 12, 售价: 1 粒MB)
(Sfârșit)
|
Postat pe 04.04.2018 12:37:15
|
|
|
|
