应急响应-Windows-挖矿病毒

随着虚拟货币市场的繁荣，挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘，给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒的应急响应和防范措施进行分析和总结。

一、病毒感染现象

挖矿病毒的感染常常表现为服务器资源占用率异常高，CPU被占用接近100%，服务器启动缓慢等现象。此外，挖矿病毒还可能向大量远程IP的特定端口发送请求，通过利用多种漏洞进行感染和传播。

二、应急场景和事件分析

应急场景一：

服务器资源占用率异常高，重启后程序启动缓慢。

1.断网隔离被感染的服务器/主机，防止成为跳板机。

2、检查异常端口、进程

检查端口连接情况，是否有远程连接、可疑连接。

• netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED
• 根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist | find “PID”

进程

• 任务管理器 Ctrl + Shift + Esc
• 运行命令提示符（cmd）中输入 taskmgr 并按下 Enter 键即可打开任务管理器。
• 打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。

3.清除挖矿病毒

• 关闭异常进程      taskkill -t -f / pid 结束进程
• 删除挖矿病毒程序

4.检查启动项、计划任务、服务

检查服务器是否有异常的启动项。

• 登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。

• 单击开始菜单 >【运行】，输入 msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

• 利用安全软件查看启动项、开机时间管理等。

检查计划任务

• 单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性

• 单击【开始】>【运行】；输入 cmd，然后输入at，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。

服务自启动

• 检查方法：单击【开始】>【运行】，输入services.msc，注意服务状态和启动类型，检查是否有异常服务。

应急场景二：

使用各种杀毒软件无法清除病毒，即使删除异常文件后，每次重启仍会重新生成。

1.检查网络链接

• 通过火绒剑查看网络链接，找到对外发送请求的进程ID。

2.进程分析

• 通过进程ID找到相关联的父进程，找到进程ID的服务项，逐一排查

3.删除服务

• 删除服务 选择可疑服务项，右键属性，停止服务，启动类型：禁止。 停止并禁用服务，再清除相关目录后，重启计算机。

三、防范措施

新型挖矿攻击展现出了蠕虫般的传播特性，结合了高级攻击技术，因此需要采取多层次的防范措施：

1. 安装安全软件并升级病毒库：及时安装更新安全软件，保持病毒库的最新状态，定期进行全盘扫描，保持实时防护能力。
2. 及时更新系统和应用程序补丁：安装最新的Windows安全补丁，及时修补系统和应用程序的漏洞，以防止挖矿病毒利用已知漏洞进行感染。
3. 加强网络安全配置：开启防火墙，合理配置网络安全策略，临时关闭不必要的端口，限制对系统的远程访问，减少攻击面。
4. 定期备份重要数据：定期备份重要数据，并将备份数据存储在安全可靠的位置，以防止挖矿病毒对数据造成损坏或丢失。

通过以上应急响应和防范措施，可以有效应对挖矿病毒的攻击，保障个人用户和企业网络的安全。