记一次挖矿病毒应急响应事件
应急主机排查
近日,我们的安全技术人员安全检查过程中发现一组内网主机存在与外部互联网地址异常通讯行为,以下是对其中一台主机挖矿应急处置分析。
文章图片
查看Windows任务管理器,发现该主机的CPU使用率为100%。结合实际业务情况初步判断该主机存在异常。
进一步查看使用率过高的进程,发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率,并且powershell.exe进程被大量调用。
文章图片
使用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析,可以看到该文件所在执行位置的绝对路径,并且存在与外部互联网地址建立连接。
文章图片
发现恶意程序与外部互联网建立连接的IP地址,使用通过微步在线溯源IP信息。
及时切断网络连接,进行网络隔离。
文章图片
使用Autoruns工具检查该主机开机自动加载的所有程序,发现可疑任务。
文章图片
打开“任务计划程序”,发现存在恶意定时任务。
定时任务:系统每间隔1小时执行一次恶意文件。
文章图片
根据定时任务发现恶意文件绝对路径。以TXT格式打开l61xHyVQ恶意文件,
发现存在域名t.tr2q.com,使用微步在线搜索分析可知其为恶意网址。
文章图片
文章图片
文章图片
挖矿病毒查杀
安装安全软件火绒后,对挖矿木马程序进行扫描查杀。
文章图片
文章图片
修复方法
1.清除机器中的文件病毒,可以用杀毒软件进行全盘扫描,主要清除文件病毒。部分病毒文件需要手动清除,清空C:\Windows\Temp下的临时文件以及回收站里的文件。
2.清除恶意定时任务,在管理工具 --> 计划任务程序 --> 计划任务程序库中删除可疑计划任务。
【记一次挖矿病毒应急响应事件】3.清除powershell和cmd的开机启动程序。
推荐阅读
- EffectiveObjective-C2.0|EffectiveObjective-C2.0 笔记 - 第二部分
- 野营记-第五章|野营记-第五章 讨伐梦魇兽
- 20170612时间和注意力开销记录
- 2018年11月19日|2018年11月19日 星期一 亲子日记第144篇
- 叙述作文
- 2019年12月24日
- 【故障公告】周五下午的一次突发故障
- 人生感悟记#环境仪器宋庆国成长记#072
- 2019.4.18感恩日记
- 我要我们在一起(二)