Вчора вдень я раптово виявив, що сайт не можна відкрити, перевірив причину і виявив, що віддалений порт бази даних не можна відкрити, тому я зайшов у віддалений сервер бази даних.
Я виявив, що сервіс MySQL зупинився, і виявив, що процесор займає 100%, як показано на наступному рисунку:
Під час сортування заповненості процесора було виявлено, що «win1ogins.exe» споживає найбільше ресурсів, займаючи 73% процесора; за особистим досвідом, це має бути майнінг програмного забезпечення для майнінгу XMR Monero!
Я також відкрив для себе процес «MyBu.exe» Yiyu і подумав: коли сервер завантажив програму, написану на Yiyu? Як показано нижче:
Клацніть правою кнопкою миші на "MyBu.exe", щоб відкрити місце файлу, розташування папки: C:\Windows, потім відсортуйте за часом і знайдіть 3 нові файли, як показано нижче:
1ndy.exe, MyBu.exe, Mzol.exe документи
Побачивши ці дивні файли, я відчув, що сервер мав бути зламаний, я заглянув у логи Windows і побачив, що логи входу були видалені, і сервер справді зламали!
Ми намагалися "win1ogins.exe" клікнути правою кнопкою миші на процесі та відкрити адресу файлу, але виявили, що його не можна відкрити!! Жодної реакції! Все гаразд! Інструменти!!
Інструмент, який я використовую — «PCHunter64.exe», просто шукай і завантажуй його самостійно
Папка, де знаходиться "win1ogins.exe", звучить так: C:\Windows\Fonts\system(x64)\\, як показано на рисунку нижче:
Ми не можемо знайти цю папку в Провіднику, як показано нижче:
Наступної операції я скопіював 3 файли вірусних троянів на свій щойно придбаний сервер для роботи!!
Я скопіював вірусний файл на новий сервер, потім спробував відкрити MyBu.exe файл і виявив, що MyBu.exe було самостійно видалено! І програмне забезпечення для майнінгу випущено, ми знаємо, що провідник не може відкрити шлях до файлу,
Ми спробували скористатися інструментом powershell, який йде в новій версії Windows, і виявили, що існує майнінгове програмне забезпечення, і там є 3 папки
(Зверніть увагу, що за нормальних обставин: C:\Windows\Fonts не має папок під ним!!)
Я встановив інструмент захоплення пакетів FD на свій сервер, ми спробували відкрити програмне забезпечення "1ndy.exe", знайшли його і спробували отримати доступ: http://221.229.204.124:9622/9622.exe має завантажувати останній вірусний троян
Тепер сайт недоступний.
Ми спробували відкрити програмне забезпечення "Mzol.exe", але виявили, що вона не знала, що хоче зробити. Ми відкриваємо програму за допомогою Notepad, як показано нижче:
LogonServer.exe Гра-шахи та карти GameServer.exe Baidu легко вбивають, BaiduSdSvc.exe знайшли S-U ServUDaemon.exe у вибухах DUB.exe у скануванні 1433 1433.exe ловлі курей S.exe Microsoft Antivirus mssecess.exe QUICK HEAL QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process без інформації почав входити в SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll ІНШІ з'єднання ЗАЙНЯТІ з'єднання PROXY підключення LAN-з'єднання MODEM з'єднання NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Не виявлено Стандартний RDP-TCP Автор: Ши Юнган, email:pizzq@sina.com
Особисто я вважаю, що «Mzol.exe» і «1ndy.exe» — це насправді одне й те саме, просто різниця між новою версією та старою!
Давайте win1ogins.exe розглянемо параметри запуску програмного забезпечення, як показано нижче:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Якщо ми дійсно майнимо XMR Monero, відкриваємо адресу майнінгового пулу: https://supportxmr.com/ Запит за адресою гаманця, як показано на рисунку нижче:
Ми розраховуємо дохід за обчислювальною потужністю, копаємо 0,42 монети на день і розраховуємо понад 1000 за поточним ринком, денний дохід, ймовірно, перевищує 500 юанів!
Звісно, Monero також піднявся до понад 2000 юанів!
Щодо видалення майнінгового вірусу "win1ogins.exe", програма PCHunter64 може видалити майнінг вручну! Просто завершити процес не допомагає, я вручну очистив вірус на своєму сервері.
Звісно, краще залишити це іншим для видалення вірусу, адже я не професіонал у цьому!
Нарешті, додайте 3 вірусні файли і розпакуйте пароль A123456
1ndy.zip
(1.29 MB, Кількість завантажень: 12, 售价: 1 粒MB)
(Кінець)
|
Опубліковано 04.04.2018 12:37:15
|
|
|
|
