[原创]分析“win1ogins.exe”挖矿木马

小渣渣

昨天下午，突然发现网站打不开了，检查了一下原因，发现是远程的数据库端口打不开了，于是，登录到远程的数据库服务器上面，
发现，MySQL服务已经停止了，并且发现cpu占用100%，如下图：





在cpu占用排序，发现“win1ogins.exe”消耗资源最大，占用cpu 73%，根据个人的经验，这个应该是挖矿软件，是挖xmr门罗币的！

还发现了“MyBu.exe”易语言的进程，心想，服务器什么时候上传过易语言写的程序了？如下图：



在“MyBu.exe”右击打开文件位置，文件夹位置：C:\Windows 然后按照时间排序，发现了有3个新文件，如下图：

1ndy.exe、MyBu.exe、Mzol.exe文件



看到这些诡异的文件，我感觉服务器应该是被入侵了，我找了下Windows的日志，发现，登录日志都已经被删除了，服务器果真是被黑了！



我们尝试“win1ogins.exe”右击进程，打开文件位置，发现是打不开的！！！没有任何反应！好吧！上工具！！！

我用的工具是“PCHunter64.exe”，自己搜索下载就好



“win1ogins.exe”所在的文件夹为：C:\Windows\Fonts\system(x64)\ 如下图：



我们在资源管理器里面是找不到这个文件夹的，如下图：



下面的操作，我是把3个病毒木马文件，拷贝到我新买的服务器上面进行操作的！！！

我把病毒文件，复制到我新买的服务器上面，然后，尝试打开MyBu.exe文件，发现MyBu.exe已经进行了自删除！并且释放了挖矿软件，我们知道资源管理器无法打开文件路径，

我们尝试用新版Windows自带的powershell工具，进行操作，发现，挖矿软件是存在的，有3个文件夹

（注意，正常情况下：C:\Windows\Fonts 下面是没有任何文件夹的！！！！）



我服务器安装了fd抓包工具，我们尝试打开“1ndy.exe”软件，发现该然后尝试访问：http://221.229.204.124:9622/9622.exe 应该是下载最新的病毒木马



现在网站已经无法访问了。

我们尝试打开“Mzol.exe”软件，发现，该程序并不知道想要干什么？我们用记事本打开该程序，如下图：

LogonServer.exe Game-棋牌   GameServer.exe  百度杀软    BaiduSdSvc.exe  发现S-U ServUDaemon.exe 在爆破  DUB.exe 在扫1433    1433.exe    在抓鸡  S.exe   微软杀毒    mssecess.exe    QUICK HEAL  QUHLPSVC.EXE    安博士V3    V3Svc.exe   安博士  patray.exe  韩国胶囊    AYAgent.aye 流量矿石    Miner.exe   趋势    TMBMSRV.exe 可牛    knsdtray.exe    QQ  QQ.exe  K7杀毒  K7TSecurity.exe QQ电脑管家  QQPCRTP.exe 金山卫士    ksafe.exe   诺顿杀毒    rtvscan.exe Avast网络安全   ashDisp.exe Avira(小红伞)   avcenter.exe    金山毒霸    kxetray.exe NOD32   egui.exe    麦咖啡  Mcshield.exe    瑞星杀毒    RavMonD.exe 江民杀毒    KvMonXP.exe 卡巴斯基    avp.exe 360杀毒 360sd.exe   360安全卫士 360tray.exe :   %s:%d:%s    F r i e n d l y N a m e     SysFreeString   Oleaut32.dll    CoCreateInstance    CoUninitialize  CoInitialize    Ole32.dll   %d*%sMHz    HARDWARE\DEscrip{过滤}tION\System\CentralProcessor\0  ~MHz    c:\%s   kernel32.dll    IsWow64Process  无信息  开始登录了  SOFTWARE\Microsoft\Windows\CurrentVersion\Run   C:\Windows\1ndy.exe Descrip{过滤}tion SYSTEM\CurrentControlSet\Services\  %s  RtlGetNtVersionNumbers  ntdll.dll   OTHER 连接  BUSY 连接   PROXY 连接  LAN 连接    MODEM 连接  NULL    CTXOPConntion_Class 3389    PortNumber  SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s 暂未发现    Default RDP-Tcp

作者:石永刚,email:pizzq@sina.com

个人猜测“Mzol.exe”和“1ndy.exe”其实是同一个东西，只不过是新版旧版的区别而已！

我们还是把重心放在“win1ogins.exe”进程上面，我们看一下该软件的启动参数，如下图：

C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1

果真是挖xmr门罗币的，我们打开矿池地址：https://supportxmr.com/ 查询该钱包的地址，如下图：



我们根据算力，来计算一下收益，一天挖0.42个币，根据现在的行情来算1000多一个的话，大概每天的收益是500元以上！

当然，门罗币也涨到过2000元以上一个！



至于，怎么清除“win1ogins.exe”挖矿病毒，PCHunter64程序是可以手工把挖矿病毒清除的！单纯的结束进程是不管用的，我在自己的服务器上面已经手动把病毒清理了。

当然，清除病毒这事，还是交给别人去做吧，毕竟自己不是专业干这个的！
最后，附上3个病毒文件，解压密码a123456

1ndy.zip (1.29 MB, 下载次数: 12, 售价: 1 粒MB)

2018-4-4 12:38 上传

点击文件名下载附件

（完）