Včera popoludní som náhle zistil, že webstránku sa nedá otvoriť, skontroloval som dôvod a zistil som, že vzdialený port databázy sa nedá otvoriť, tak som sa prihlásil na vzdialený databázový server.
Zistil som, že služba MySQL sa zastavila a CPU je na 100 %, ako je znázornené na nasledujúcom obrázku:
Pri triedení obsadenosti CPU sa zistilo, že "win1ogins.exe" spotrebúva najviac zdrojov, zaberá 73 % CPU, podľa osobnej skúsenosti by to mal byť ťažobný softvér, ktorý má ťažiť XMR Monero!
Objavil som aj proces "MyBu.exe" Yiyu a pomyslel som si, kedy server nahral program napísaný v Yiyu? Ako je uvedené nižšie:
Kliknutím pravým tlačidlom na "MyBu.exe" otvoríte umiestnenie súboru, miesto priečinka: C:\Windows, potom zoradíte podľa času a nájdite 3 nové súbory, ako je uvedené nižšie:
1ndy.exe, MyBu.exe, Mzol.exe dokumenty
Keď som videl tieto zvláštne súbory, mal som pocit, že server mal byť hacknutý, pozrel som sa do logov Windows a zistil som, že logy prihlásenia boli vymazané a server bol naozaj hacknutý!
Snažili sme sa kliknúť pravým tlačidlom "win1ogins.exe" na proces a otvoriť miesto súboru, ale zistili sme, že sa nedá otvoriť!! Žiadna reakcia! V poriadku! Nástroje!!
Nástroj, ktorý používam, je "PCHunter64.exe", stačí ho vyhľadať a stiahnuť si ho sám
Priečinok, kde sa nachádza "win1ogins.exe", je: C:\Windows\Fonts\system(x64)\ ako je znázornené na obrázku nižšie:
Tento priečinok v Exploreri nemôžeme nájsť, ako je uvedené nižšie:
Nasledujúca operácia: skopírujem 3 vírusové trójske súbory na môj novo zakúpený server na prevádzku!!
Skopíroval som vírusový súbor na svoj novo zakúpený server, potom som sa pokúsil otvoriť MyBu.exe súbor a zistil som, že MyBu.exe bol sám vymazaný! A ťažobný softvér je uvoľnený, vieme, že prieskumník nemôže otvoriť cestu k súboru,
Skúšali sme použiť powershell nástroj, ktorý je súčasťou novej verzie Windows, a zistili sme, že existuje softvér na ťažbu, ktorý obsahuje 3 priečinky
(Za normálnych okolností: C:\Windows\Fonts nemá pod sebou žiadne priečinky!!)
Nainštaloval som nástroj FD na zachytávanie paketov na svoj server, pokúsili sme sa otvoriť softvér "1ndy.exe", našli sme ho a pokúsili sa pristupovať: http://221.229.204.124:9622/9622.exe by mal sťahovať najnovší vírus Trójan
Teraz je webová stránka neprístupná.
Skúsili sme otvoriť softvér "Mzol.exe" a zistili sme, že program nevie, čo chce robiť. Program otvárame pomocou Notepadu, ako je uvedené nižšie:
LogonServer.exe Game-šachy a karty GameServer.exe Baidu zabíjajú mäkké BaiduSdSvc.exe našli S-U ServUDaemon.exe v strieľaní DUB.exe v skenovaní 1433 1433.exe v chytaní sliepok S.exe Microsoft Antivírus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info Začal som sa prihlasovať do SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll INÉ pripojenia ZANEPRÁZDNENÉ pripojenia PROXY pripojenia LAN pripojenia MODEM pripojenia NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Neobjavené Predvolený RDP-Tcp Autor: Shi Yonggang, email:pizzq@sina.com
Osobne si myslím, že "Mzol.exe" a "1ndy.exe" sú vlastne to isté, len rozdiel medzi novou a starou verziou!
Pozrime win1ogins.exe sa na štartovacie parametre softvéru, ako je znázornené nižšie:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Ak naozaj ťažíme XMR Monero, otvoríme adresu ťažobného poolu: https://supportxmr.com/ Dotazujeme na adresu peňaženky, ako je znázornené na obrázku nižšie:
Príjmy počítame podľa výpočtového výkonu, denne vykopeme 0,42 mincí a podľa aktuálneho trhu počítame viac ako 1 000, denný príjem je pravdepodobne viac ako 500 jüanov!
Samozrejme, Monero tiež vzrástlo na viac ako 2 000 jüanov!
Čo sa týka odstránenia "win1ogins.exe" ťažobného vírusu, program PCHunter64 dokáže ťažobný vírus odstrániť manuálne! Jednoduché ukončenie procesu nefunguje, vírus som na serveri vyčistil ručne.
Samozrejme, je lepšie nechať to na iných, aby vírus odstránili, veď ja v tom nie som odborník!
Nakoniec pripojte 3 vírusové súbory a rozbalte heslo A123456
1ndy.zip
(1.29 MB, Počet stiahnutí: 12, 售价: 1 粒MB)
(Koniec)
|
Zverejnené 4. 4. 2018 12:37:15
|
|
|
|
