Windows应急响应 || 挖矿木马

释放双眼,带上耳机,听听看~!

0x00木马介绍

 木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主,木马病毒的产生严重危害着现代网络的安全运行。

 

0x01应急环境

某日上午查看服务器的时候,发现程序启动很慢,利用process hacker进程管理器,发现cpu被占用接近75%,服务器资源占用严重。

                           

 

0x02处理过程

1.System Idle Process 是Windows内存处理系统进程,在这个进程里出现的CPU占用数值并不是CPU实际的占用,而是体现CPU的空闲率,这个数值越大,CPU的空闲率就越高,如果占用值很低的话就应该注意后台有什么大的程序在运行或者感染病毒。

2.接下来查看其它进程,发现可疑进程svvhost.exe。如下图:svvhost.exe 木马利用被感染计算机的资源,而无需用户的许可,它可以长时间停留而不被发现和删除,因为它伪装成一个下载工具. svvhost.exe 木马窃取的CPU和显卡,导致与缓慢和崩溃的问题。

3.分析进程参数:快速查看进程所在路径,在命令行中输入wmic,然后输入process,发现svvhost.exe这个进程是个伪造的进程,而且路径也是假的。

4.访问该目录:Temp目录下发现异常目录与进程。

5.记录下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器中找到它,并结束进程。然后在c盘搜索到伪装成svchost.exe的文件并将其彻底删除。

6.手动检查出异常程序,将这些异常程序导出来,利用virustotal进行检测。确认在svhost.exe有病毒存在,然后进行kill进程然后找到所对应的文件进行删除。

7.通过杀毒软件扫描杀毒,已扫描发现的结果如下:

由于服务器不能重启,故扫描之后不能全部清除木马,我们只能进行手动处理一些扫描出来的文件以及自己发现的病毒文件,但这种情况不安全,可能会再次生成这些病毒文件,所遗留下来的问题就是能够重启服务器利用360杀毒软件进行全盘扫描,然后自行酌情处理。

 

0x03防护措施

针对windows客户端被木马感染的现象,总结了几种预防措施:

1.遵守安全规范,避免使用简单口令,建议打开组策略中的密码策略,强制要求使用足够复杂度的口令,同时定期更换口令。

2.及时更新系统和使用的软件,尤其是有安全补丁放出时,更需要及时安装更新。

3.做好权限控制,关闭不必要的服务与端口。对于非对外提供的服务,避免暴露于公网上,控制机器间的访问权限。

4.对重要数据定期备份,可以选择离线备份。

5.安装奇安信杀毒软件等专业的安全防护软件(*^▽^*),保护系统安全。

本文源自微信公众号:弥天安全实验室

人已赞赏
安全工具

CDN节点绕过

2019-10-18 16:52:54

安全工具

微信DLL劫持反弹shell复现

2019-10-18 16:52:59

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索