应急主机排查
近日,咱们的平安技术人员安全检查过程中发现一组内网主机存在与内部互联网地址异样通信行为,以下是对其中一台主机挖矿应急处理剖析。
查看Windows工作管理器,发现该主机的CPU使用率为100%。结合实际业务状况初步判断该主机存在异样。
进一步查看使用率过高的过程,发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率,并且powershell.exe过程被大量调用。
应用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析,能够看到该文件所在执行地位的绝对路径,并且存在与内部互联网地址建设连贯。
发现恶意程序与内部互联网建设连贯的IP地址,应用通过微步在线溯源IP信息。
及时切断网络连接,进行网络隔离。
应用Autoruns工具查看该主机开机主动加载的所有程序,发现可疑工作。
关上“工作打算程序”,发现存在歹意定时工作。
定时工作:零碎每距离1小时执行一次歹意文件。
依据定时工作发现歹意文件绝对路径。以TXT格局关上l61xHyVQ歹意文件,
发现存在域名t.tr2q.com,应用微步在线搜寻剖析可知其为歹意网址。
挖矿病毒查杀
装置安全软件火绒后,对挖矿木马程序进行扫描查杀。
修复办法
1.革除机器中的文件病毒,能够用杀毒软件进行全盘扫描,次要革除文件病毒。局部病毒文件须要手动革除,清空C:\Windows\Temp下的临时文件以及回收站里的文件。
2.革除歹意定时工作,在管理工具 --> 打算工作程序 --> 打算工作程序库中删除可疑打算工作。
3.革除powershell和cmd的开机启动程序。