应急主机排查
近日,咱们的平安技术人员安全检查过程中发现一组内网主机存在与内部互联网地址异样通信行为,以下是对其中一台主机挖矿应急处理剖析。
查看 Windows 工作管理器,发现该主机的 CPU 使用率为 100%。结合实际业务状况初步判断该主机存在异样。
进一步查看使用率过高的过程,发现名称为 v6w5m43T.exe 可疑执行文件占用大量 CPU 使用率,并且 powershell.exe 过程被大量调用。
应用火绒剑对 v6w5m43T.exe 可疑可执行文件进行详细分析,能够看到该文件所在执行地位的绝对路径,并且存在与内部互联网地址建设连贯。
发现恶意程序与内部互联网建设连贯的 IP 地址,应用通过微步在线溯源 IP 信息。
及时切断网络连接,进行网络隔离。
应用 Autoruns 工具查看该主机开机主动加载的所有程序,发现可疑工作。
关上“工作打算程序”,发现存在歹意定时工作。
定时工作:零碎每距离 1 小时执行一次歹意文件。
依据定时工作发现歹意文件绝对路径。以 TXT 格局关上 l61xHyVQ 歹意文件,
发现存在域名 t.tr2q.com,应用微步在线搜寻剖析可知其为歹意网址。
挖矿病毒查杀
装置安全软件火绒后,对挖矿木马程序进行扫描查杀。
修复办法
1. 革除机器中的文件病毒,能够用杀毒软件进行全盘扫描,次要革除文件病毒。局部病毒文件须要手动革除,清空 C:\Windows\Temp 下的临时文件以及回收站里的文件。
2. 革除歹意定时工作,在管理工具 –> 打算工作程序 –> 打算工作程序库中删除可疑打算工作。
3. 革除 powershell 和 cmd 的开机启动程序。