记一次挖矿病毒应急响应事件

李志宽
• 阅读 860

应急主机排查

近日,我们的安全技术人员安全检查过程中发现一组内网主机存在与外部互联网地址异常通讯行为,以下是对其中一台主机挖矿应急处置分析。

记一次挖矿病毒应急响应事件

查看Windows任务管理器,发现该主机的CPU使用率为100%。结合实际业务情况初步判断该主机存在异常。

进一步查看使用率过高的进程,发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率,并且powershell.exe进程被大量调用。

记一次挖矿病毒应急响应事件

使用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析,可以看到该文件所在执行位置的绝对路径,并且存在与外部互联网地址建立连接。

记一次挖矿病毒应急响应事件

发现恶意程序与外部互联网建立连接的IP地址,使用通过微步在线溯源IP信息。

及时切断网络连接,进行网络隔离。

记一次挖矿病毒应急响应事件

使用Autoruns工具检查该主机开机自动加载的所有程序,发现可疑任务。

记一次挖矿病毒应急响应事件

打开“任务计划程序”,发现存在恶意定时任务。

定时任务:系统每间隔1小时执行一次恶意文件。

记一次挖矿病毒应急响应事件

根据定时任务发现恶意文件绝对路径。以TXT格式打开l61xHyVQ恶意文件,

发现存在域名t.tr2q.com,使用微步在线搜索分析可知其为恶意网址。

记一次挖矿病毒应急响应事件

记一次挖矿病毒应急响应事件

记一次挖矿病毒应急响应事件

挖矿病毒查杀

安装安全软件火绒后,对挖矿木马程序进行扫描查杀。

记一次挖矿病毒应急响应事件

记一次挖矿病毒应急响应事件

修复方法

1.清除机器中的文件病毒,可以用杀毒软件进行全盘扫描,主要清除文件病毒。部分病毒文件需要手动清除,清空C:\Windows\Temp下的临时文件以及回收站里的文件。

2.清除恶意定时任务,在管理工具 --> 计划任务程序 --> 计划任务程序库中删除可疑计划任务。

3.清除powershell和cmd的开机启动程序。

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
待兔 待兔
5个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Easter79 Easter79
3年前
springcloud eureka.instance
1.在springcloud中服务的 InstanceID默认值是:${spring.cloud.client.hostname}:${spring.application.name}:${spring.application.instance\_id:${server.port}},也就是:主机名:应用名:应用端口。如图1
Stella981 Stella981
3年前
Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理?
症状表现服务器CPU资源使用一直处于100%的状态,通过top命令查看,发现可疑进程kdevtmpfsi。通过google搜索,发现这是挖矿病毒。!(https://cdm.yp14.cn/img/kdevtmpfsitop.png)排查方法首先:查看kdevtmpfsi进程,使用ps
Stella981 Stella981
3年前
Android So动态加载 优雅实现与原理分析
背景:漫品Android客户端集成适配转换功能(基于目标识别(So库35M)和人脸识别库(5M)),导致apk体积50M左右,为优化客户端体验,决定实现So文件动态加载.!(https://oscimg.oschina.net/oscnet/00d1ff90e4b34869664fef59e3ec3fdd20b.png)点击上方“蓝字”关注我
Stella981 Stella981
3年前
Linux应急响应(四):盖茨木马
0x00前言Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。0x01应急场景
Wesley13 Wesley13
3年前
35岁是技术人的天花板吗?
35岁是技术人的天花板吗?我非常不认同“35岁现象”,人类没有那么脆弱,人类的智力不会说是35岁之后就停止发展,更不是说35岁之后就没有机会了。马云35岁还在教书,任正非35岁还在工厂上班。为什么技术人员到35岁就应该退役了呢?所以35岁根本就不是一个问题,我今年已经37岁了,我发现我才刚刚找到自己的节奏,刚刚上路。
十月飞翔 十月飞翔
2年前
Docker cmd
1.复制从主机复制到容器sudodockercphostpathcontainerID:containerpath从容器复制到主机sudodockercpcontainerID:containerpathhostpath容器ID查看:dockerpsa
京东云开发者 京东云开发者
10个月前
JAVA应用CPU跳点自动DUMP工具 | 京东物流技术团队
背景在做系统监控时,CPU的使用率是一个关键的指标,它反映了系统的性能稳定性以及是否存在异常情况,能帮助我们了解系统的负载情况。通过监控CPU使用率,可以判断系统是否正常运行或者是否存在性能问题。如果CPU使用率过高,可能表示系统存在资源瓶颈,需要进行优化
京东云开发者 京东云开发者
4个月前
JAVA应用CPU跳点自动DUMP工具
背景在做系统监控时,CPU的使用率是一个关键的指标,它反映了系统的性能稳定性以及是否存在异常情况,能帮助我们了解系统的负载情况。通过监控CPU使用率,可以判断系统是否正常运行或者是否存在性能问题。如果CPU使用率过高,可能表示系统存在资源瓶颈,需要进行优化
李志宽
李志宽
Lv1
男 · 长沙幻音科技有限公司 · 网络安全工程师
李志宽、前百创作者、渗透测试专家、闷骚男一位、有自己的摇滚乐队
文章
89
粉丝
25
获赞
43