Včeraj popoldne sem nenadoma ugotovil, da spletne strani ni mogoče odpreti, preveril razlog in ugotovil, da oddaljenega priključka baze podatkov ni mogoče odpreti, zato sem se prijavil na oddaljeni strežnik baze podatkov.
Ugotovil sem, da se je storitev MySQL ustavila in CPU zaseda 100 %, kot je prikazano na naslednji sliki:
Pri razvrščanju zasedenosti procesorja so ugotovili, da "win1ogins.exe" porabi največ virov, saj zaseda 73 % procesorja; po osebnih izkušnjah bi to morala biti rudarska programska oprema, ki je namenjena rudarjenju XMR Monera!
Odkril sem tudi postopek "MyBu.exe" Yiyu in sem se vprašal, kdaj je strežnik naložil program, napisan v Yiyu? Kot je prikazano spodaj:
Desni klik na "MyBu.exe", da odprete lokacijo datoteke, lokacijo mape: C:\Windows, nato razvrstite po času in poiščite 3 nove datoteke, kot je prikazano spodaj:
1ndy.exe, MyBu.exe, Mzol.exe dokumenti
Ko sem videl te nenavadne datoteke, sem imel občutek, da bi morali strežnik vdrti, pogledal sem v Windows dnevnike in ugotovil, da so bili dnevniki prijav izbrisani, strežnik pa je bil res vdrt!
Poskušali smo z desnim klikom "win1ogins.exe" na postopek in odpreti lokacijo datoteke, a ugotovili, da je ni mogoče odpreti!! Brez reakcije! Prav! Orodja!!
Orodje, ki ga uporabljam, je "PCHunter64.exe", samo poiščite in ga prenesite sami
Mapa, kjer se nahaja "win1ogins.exe", je: C:\Windows\Fonts\system(x64)\ kot je prikazano na spodnji sliki:
Te mape ne najdemo v Explorerju, kot je prikazano spodaj:
Pri naslednji operaciji kopiram 3 virusne trojanske datoteke na novo kupljen strežnik za delovanje!!
Virusno datoteko sem kopiral na novo kupljeni strežnik, nato poskusil odpreti MyBu.exe datoteko in ugotovil, da je bila MyBu.exe samoizbrisana! In rudarska programska oprema je izdana, vemo, da raziskovalec ne more odpreti poti do datoteke,
Poskusili smo uporabiti powershell orodje, ki je priloženo novi različici Windows, in ugotovili, da obstaja programska oprema za rudarjenje, ki vsebuje 3 mape
(Upoštevajte, da v običajnih okoliščinah: C:\Windows\Fonts nima nobenih map pod seboj!!)
Na strežnik sem namestil orodje za zajem FD paketov, poskusili smo odpreti programsko opremo "1ndy.exe", jo našli in poskusili dostopati: http://221.229.204.124:9622/9622.exe bi moral prenašati najnovejši virusni trojan
Zdaj je spletna stran nedostopna.
Poskusili smo odpreti programsko opremo "Mzol.exe" in ugotovili, da program ni vedel, kaj želi narediti. Program odpremo s Notepadom, kot je prikazano spodaj:
LogonServer.exe Game-chess and cards GameServer.exe Baidu ubija mehke BaiduSdSvc.exe je našel S-U ServUDaemon.exe pri razstreljevanju DUB.exe pri skeniranju 1433 1433.exe pri lovljenju kokoši S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info Začel sem se prijavljati v SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll DRUGE povezave ZASEDENE povezave PROXY povezave LAN povezave MODEM povezave NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Ni odkrito Privzeti RDP-Tcp Avtor: Shi Yonggang, email:pizzq@sina.com
Osebno mislim, da sta "Mzol.exe" in "1ndy.exe" pravzaprav ista stvar, le razlika med novo in staro različico!
Poglejmo win1ogins.exe parametre zagona programske opreme, kot je prikazano spodaj:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Če res rudarimo XMR Monero, odpremo naslov rudarskega bazena: https://supportxmr.com/ Poizvemo naslov denarnice, kot je prikazano na spodnji sliki:
Dohodek izračunamo glede na računalniško moč, izkopljemo 0,42 kovancev na dan in izračunamo več kot 1.000, glede na trenutni trg je dnevni dohodek verjetno več kot 500 juanov!
Seveda je tudi Monero narasel na več kot 2.000 juanov!
Kar zadeva odstranitev rudarskega virusa "win1ogins.exe", program PCHunter64 lahko ročno odstrani rudarski virus! Samo zaključevanje procesa ne deluje, virus sem ročno očistil na strežniku.
Seveda je bolje, da odstranitev virusa prepustite drugim, saj nisem strokovnjak za to!
Na koncu priložite 3 virusne datoteke in razpakirajte geslo A123456
1ndy.zip
(1.29 MB, Število prenosov: 12, 售价: 1 粒MB)
(Konec)
|
Objavljeno na 4. 04. 2018 12:37:15
|
|
|
|
