應急主機排查
近日,我們的安全技術人員安全檢查過程中發現一組內網主機存在與外部網際網路地址異常通訊行為,以下是對其中一臺主機挖礦應急處置分析。
檢視Windows工作管理員,發現該主機的CPU使用率為100%。結合實際業務情況初步判斷該主機存在異常。
進一步檢視使用率過高的程式,發現名稱為v6w5m43T.exe可疑執行檔案佔用大量CPU使用率,並且powershell.exe程式被大量呼叫。
使用火絨劍對v6w5m43T.exe可疑可執行檔案進行詳細分析,可以看到該檔案所在執行位置的絕對路徑,並且存在與外部網際網路地址建立連線。
發現惡意程式與外部網際網路建立連線的IP地址,使用通過微步線上溯源IP資訊。
及時切斷網路連線,進行網路隔離。
使用Autoruns工具檢查該主機開機自動載入的所有程式,發現可疑任務。
開啟“任務計劃程式”,發現存在惡意定時任務。
定時任務:系統每間隔1小時執行一次惡意檔案。
根據定時任務發現惡意檔案絕對路徑。以TXT格式開啟l61xHyVQ惡意檔案,
發現存在域名t.tr2q.com,使用微步線上搜尋分析可知其為惡意網址。
挖礦病毒查殺
安裝安全軟體火絨後,對挖礦木馬程式進行掃描查殺。
修復方法
1.清除機器中的檔案病毒,可以用防毒軟體進行全盤掃描,主要清除檔案病毒。部分病毒檔案需要手動清除,清空C:\Windows\Temp下的臨時檔案以及回收站裡的檔案。
2.清除惡意定時任務,在管理工具 --> 計劃任務程式 --> 計劃任務程式庫中刪除可疑計劃任務。
3.清除powershell和cmd的開機啟動程式。