今天早上我在使用计算机的时候,突然火绒给我一个病毒拦截弹窗。其实也没啥,毕竟学取证,有软件或组件被误判为计算机病毒也很正常,但是我仔细一看,竟然是我之前就发现过的,觉得很可疑的exe软件进程。
WinServiceNetworking.exe我半年前就觉得不对劲了,没想到是一个挖矿病毒
一、回溯病毒影响
这是最早能够追溯到图片信息了
2023年8月26日,正在打蓝帽杯初赛拍摄的图,赛后和我同学聊天发的
在这之前我就发现WinServiceNetworking.exe这个进程占用过大的情况了
哪有软件会占用内存5G
限于名字,我以为是系统组件
但是系统组件也不会占用5G
当时我就在在网上搜了很多技术帖和经验贴,没有看到一篇写这个的
就是取证比赛的时候电脑比较卡,然后我就没多想,没管他了
这期间也经常做病毒扫描,但是这个并没有被扫出来,而且很多网安工具都会被误认为成病毒
2023年10月14日,我把计算机的内存从16G手改换成了64G,然后这个进程随之变大
然后我就去咨询朋友,但都以为是系统网络组件
系统网络组件怎么会占用这么大?
微软做的什么系统?
这个病毒肯定是最新的,今天才加到病毒特征库里面
这个病毒后面占用我64G内存的百分之二十左右
然后就是今天上午,突然的报警日志
二、病毒简单分析
病毒虽然被火绒删掉了
但是日志出现了频繁警告的情况
很明显,有一个类似于自启动脚本的程序在作祟
然后就查看病毒所在文件夹
病毒已经被删掉了
WinAAMService.exe难道也是系统组件吗?
但是用火绒和火绒剑翻来翻去,也没什么收获
启动看看这个exe
没想到WinServiceNetworking.exe直接蹦出来了,然后又被火绒杀死
这是当时我把火绒关闭所能看到的
然后我就把这两个exe文件用云沙箱做个分析
WinServiceNetworking.exe
安恒云沙箱扫描结果为安全
奇安信云沙箱扫描结果为恶意,恶意评分为9分
恶意类型Adware
家族/团伙bitcooinmminer
很明显是挖矿病毒
还可以看看火绒给他的分类
HackTool/LoLMiner.a
黑客工具下面的挖矿病毒
WinAAMService.exe
奇安信云沙箱扫描结果为正常
安恒云沙箱扫描结果为中危
令牌和特权值
加解密肯定是防止被发现传输的流量
三、病毒清理
不知道感染的位置
我用火绒把这个文件夹解除进程占用,强制粉碎了
到现在都没有再报问题了
但是没有做深度的清理
先这样用着
四、一些思考和建议
1.有朋友建议我使用虚拟机,确实更加安全,主机不会影响的。等我有时间,再来做,因为软件实在太多了
2.这个病毒在我眼皮底下待了半年多,我应该早些放云沙箱,分析看看,毕竟防御方法永远赶不上攻击手段
3.装一个火绒还是挺有必要的
4.装软件一定要注意来处,学网安和取证确实没办法,要用的软件有很多
5.早发现,早治疗。也算是买个教训了
我有时间,再来做,因为软件实在太多了
2.这个病毒在我眼皮底下待了半年多,我应该早些放云沙箱,分析看看,毕竟防御方法永远赶不上攻击手段
3.装一个火绒还是挺有必要的
4.装软件一定要注意来处,学网安和取证确实没办法,要用的软件有很多
5.早发现,早治疗。也算是买个教训了
6.风扇声音终于是小了