架构师_程序员_码农网

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11844|回复: 0

[原创]分析“win1ogins.exe”挖矿木马

[复制链接]
发表于 2018-4-4 12:37:15 | 显示全部楼层 |阅读模式
昨天下午,突然发现网站打不开了,检查了一下原因,发现是远程的数据库端口打不开了,于是,登录到远程的数据库服务器上面,
发现,MySQL服务已经停止了,并且发现cpu占用100%,如下图:


QQ截图20180404115650.jpg


在cpu占用排序,发现“win1ogins.exe”消耗资源最大,占用cpu 73%,根据个人的经验,这个应该是挖矿软件,是挖xmr门罗币的!

还发现了“MyBu.exe”易语言的进程,心想,服务器什么时候上传过易语言写的程序了?如下图:

QQ截图20180404120229.jpg

在“MyBu.exe”右击打开文件位置,文件夹位置:C:\Windows 然后按照时间排序,发现了有3个新文件,如下图:

1ndy.exe、MyBu.exe、Mzol.exe文件

QQ截图20180404120427.jpg

看到这些诡异的文件,我感觉服务器应该是被入侵了,我找了下Windows的日志,发现,登录日志都已经被删除了,服务器果真是被黑了!

QQ截图20180403171013.jpg

我们尝试“win1ogins.exe”右击进程,打开文件位置,发现是打不开的!!!没有任何反应!好吧!上工具!!!

我用的工具是“PCHunter64.exe”,自己搜索下载就好

QQ截图20180404121010.jpg

“win1ogins.exe”所在的文件夹为:C:\Windows\Fonts\system(x64)\ 如下图:

QQ截图20180403174247.jpg

我们在资源管理器里面是找不到这个文件夹的,如下图:

QQ截图20180404120929.jpg

下面的操作,我是把3个病毒木马文件,拷贝到我新买的服务器上面进行操作的!!!

我把病毒文件,复制到我新买的服务器上面,然后,尝试打开MyBu.exe文件,发现MyBu.exe已经进行了自删除!并且释放了挖矿软件,我们知道资源管理器无法打开文件路径,

我们尝试用新版Windows自带的powershell工具,进行操作,发现,挖矿软件是存在的,有3个文件夹

注意,正常情况下:C:\Windows\Fonts 下面是没有任何文件夹的!!!!

QQ截图20180404101433.jpg

我服务器安装了fd抓包工具,我们尝试打开“1ndy.exe”软件,发现该然后尝试访问:http://221.229.204.124:9622/9622.exe 应该是下载最新的病毒木马

QQ截图20180404102815.jpg

现在网站已经无法访问了。

我们尝试打开“Mzol.exe”软件,发现,该程序并不知道想要干什么?我们用记事本打开该程序,如下图:

LogonServer.exe Game-棋牌   GameServer.exe  百度杀软    BaiduSdSvc.exe  发现S-U ServUDaemon.exe 在爆破  DUB.exe 在扫1433    1433.exe    在抓鸡  S.exe   微软杀毒    mssecess.exe    QUICK HEAL  QUHLPSVC.EXE    安博士V3    V3Svc.exe   安博士  patray.exe  韩国胶囊    AYAgent.aye 流量矿石    Miner.exe   趋势    TMBMSRV.exe 可牛    knsdtray.exe    QQ  QQ.exe  K7杀毒  K7TSecurity.exe QQ电脑管家  QQPCRTP.exe 金山卫士    ksafe.exe   诺顿杀毒    rtvscan.exe Avast网络安全   ashDisp.exe Avira(小红伞)   avcenter.exe    金山毒霸    kxetray.exe NOD32   egui.exe    麦咖啡  Mcshield.exe    瑞星杀毒    RavMonD.exe 江民杀毒    KvMonXP.exe 卡巴斯基    avp.exe 360杀毒 360sd.exe   360安全卫士 360tray.exe :   %s:%d:%s    F r i e n d l y N a m e     SysFreeString   Oleaut32.dll    CoCreateInstance    CoUninitialize  CoInitialize    Ole32.dll   %d*%sMHz    HARDWARE\DEscrip{过滤}tION\System\CentralProcessor\0  ~MHz    c:\%s   kernel32.dll    IsWow64Process  无信息  开始登录了  SOFTWARE\Microsoft\Windows\CurrentVersion\Run   C:\Windows\1ndy.exe Descrip{过滤}tion SYSTEM\CurrentControlSet\Services\  %s  RtlGetNtVersionNumbers  ntdll.dll   OTHER 连接  BUSY 连接   PROXY 连接  LAN 连接    MODEM 连接  NULL    CTXOPConntion_Class 3389    PortNumber  SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s 暂未发现    Default RDP-Tcp
作者:石永刚,email:pizzq@sina.com

QQ截图20180404122219.jpg QQ截图20180404122253.jpg

个人猜测“Mzol.exe”和“1ndy.exe”其实是同一个东西,只不过是新版旧版的区别而已!

我们还是把重心放在“win1ogins.exe”进程上面,我们看一下该软件的启动参数,如下图:

QQ截图20180404112237.jpg

C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1

果真是挖xmr门罗币的,我们打开矿池地址:https://supportxmr.com/ 查询该钱包的地址,如下图:

QQ截图20180404112644.jpg

我们根据算力,来计算一下收益,一天挖0.42个币,根据现在的行情来算1000多一个的话,大概每天的收益是500元以上!

当然,门罗币也涨到过2000元以上一个!

QQ截图20180404122944.jpg

至于,怎么清除“win1ogins.exe”挖矿病毒,PCHunter64程序是可以手工把挖矿病毒清除的!单纯的结束进程是不管用的,我在自己的服务器上面已经手动把病毒清理了。

当然,清除病毒这事,还是交给别人去做吧,毕竟自己不是专业干这个的!
最后,附上3个病毒文件,解压密码a123456

1ndy.zip (1.29 MB, 下载次数: 12, 售价: 1 粒MB)

(完)





上一篇:银行SWIFT/BIC编码介绍
下一篇:MySQL date/time 不能转换为 System.DateTime
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:help@itsvse.com

QQ|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2024-3-29 05:50

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表