Posted on

病毒现象

  1. 服务器存在卡顿和外联异常IP等现象。
  2. 存在进程名为10位随机字符的进程。
  3. 对外有DDOS攻击行为

病毒处置

  1. 停止定时任务:对于定时任务,删除或者注释都会被删掉重写,可以设置权限,使crontab文件无法写入:chattr +i /etc/crontab。对于木马文件,删除会重建,可以修改权限,使之无法运行,但此刻千万不要删掉(因此删除后,木马又会自动生成该文件)。降权操作:chmod 600 /lib/libudev.so chmod 600 /lib/libudev.so.6
  2. chmod 600 /user/bin/[10位随机字符],chmod 600 /tmp/[10位随机字符]。
  3. 删除:/etc/rc.d/[10位随机字符]、/etc/rc.d/K90[10位随机字符]、/etc/init.d/[10位随机字符]。
  4. 手动kill全部木马进程。
  5. rm -f /usr/bin/[10位随机字符]、/tmp/[10位随机字符]、/lib/libudev.so、libudev.so.6、/etc/cron.hourly/gcc.sh、/etc/crontab/gcc.sh。
  6. 重启服务器(客户进行重启操作)测试木马是否清理完成。

病毒详情

https://blog.csdn.net/tiezhong2004/article/details/80963575

Posted on

病毒现象

表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务

病毒处置

  1. 删除恶意动态链接库/usr/local/lib/libioset.so,排查清理/etc/ld.so.preload中是否加载1中的恶意动态链接库
  2. 清理crontab异常项,删除恶意任务(无法修改则先执行4-a)
  3. 使用kill命令终止挖矿进程

  4. 排查清理残留的病毒文件:
    a. chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
    b. chkconfig watchdogs off
    c. rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

  5. 相关系统命令可能被病毒删除,建议重新进行安装恢复

  6. 由于文件只读且相关命令被hook,需要安装busybox通过busybox rm命令删除
  7. 部分操作需要重启机器生效

病毒详情

https://mp.weixin.qq.com/s/dwY--BLzcyeXqPUZlhb__Q

Posted on

病毒现象

在C:\Windows\Temp目录下生成cohernece.exe文件,以及java-log-xxxx.log文件,存在恶意进程powershell,不断向外进行RDP爆破和ms17-010漏洞利用,并且释放cohernece.exe。导致病毒用杀毒软件杀掉后过一段时间会再次反复生成。还添加了计划任务,连接恶意域名更新病毒。

病毒处置

  1. 使用Tcpview查看链接,定位到恶意的进程powershell,特征:存在异常外连行为,向其他内网主机的445端口(microsoft-ds)或者恶意域名update.7h4uk.com发送连接请求。注意:powershell进程可能不止一个,相同PID为同一进程,确定好恶意的powershell进程并记录PID号。结束掉该进程。
  2. 使用autoruns工具,选择wmi选项卡,删除掉以下两项
    avatar
  3. 在logon选项卡中,关闭两个带有winmail.exe的条目。
  4. 在scheduled tasks选项卡中,关闭以下三个条目:
    avatar
  5. 结束cohernece.exe进程,并在C:\Windows\Temp目录下删除病毒文件。
  6. 在运行中输入compmgmt.msc,查看计划任务,删除掉如下任务:
    avatar
  7. 打ms17-010的补丁,修改服务器密码。

病毒详情

https://www.freebuf.com/articles/network/181441.html

Posted on

病毒现象

  1. 服务器存在卡顿现象。
  2. Setring.exe运行了多个线程进行挖矿,监测到CPU占有率达到75%。
  3. Setring.exe挖矿文件被释放在C:\Program Files (x86)\Microsoft MSBuild\Setring.exe,特意伪装成为了NVIDIA的文件(NVIDIA显卡市场覆盖极广,其文件一般会被认为是安全的),图标也是英伟达官方图标。

病毒处置

  1. C:\Program Files\Microsoft MSBuild\Setring.exe
  2. C:\Program Files (x86)\Microsoft MSBuild\Setring.exe
  3. C:\Program Files\Windows Photo\Imaging.exe
  4. C:\Program Files\Windows Photo\Sadats.dll
  5. 使用了第三方安全设备的用户,也可以通过封堵以下两个URL,进行防护:http://miner.gsbean.com/upload/Sadats.jpg、http://80.255.3.69/upload/Usdata.txt。

病毒详情

https://www.freebuf.com/articles/terminal/176936.html

Posted on

病毒现象

  1. 服务器存在卡顿和外联异常IP等现象。
  2. 存在powershell.exe进程。

病毒处置

  1. 使用Autoruns工具(微软官网可下),选择WMI,将该WMI启动项删除(该项底部详细栏有“SELECT * FROM __InstanceModificationEvent WITHIN 5600”)。
  2. 打开“任务管理器”,将Powershell宿主进程杀掉即可。
  3. 修补漏洞:打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。
  4. 修改密码:如果主机账号密码比较弱,建议重置高强度的密码。

病毒详情

http://sec.sangfor.com.cn/events/107.html

Posted on

病毒现象

主机有访问C&C服务器域名,但是主机上无恶意文件,并且存在异常的dllhost.exe进程。

病毒处置

  1. 结束进程dllhost.exe
  2. 使用PCHunter删除注册表相应的恶意键值,即删除默认键对应的值。(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\默认)

病毒详情

https://www.freebuf.com/articles/network/169296.html

Posted on

病毒现象

  1. 主机有大量对同网段主机的3389连接。
  2. C:\Windows\offline web pages目录下有cache.txt文件。

病毒处置

  1. 删除标记的所有键值,只保留默认的
    avatar
  2. 使用tcpview工具可确定爆破3389的svchost.exe进程,再在任务管理器中结束这个svchost.exe进程
  3. 删除C:\Windows\offline web pages\cache.txt
  4. 删除成功后重启电脑确认是否还存在该病毒
  5. 更改用户登录密码,通过设置高强度密码避免再次被RDP爆破

病毒详情

https://www.freebuf.com/news/167365.html

Posted on

病毒现象

  1. C:\Windows\System32\MsraReportDataCache32.tlb
    C:\Windows\SecureBootThemes\
    C:\Windows\SecureBootThemes\Microsoft\
    C:\Windows\SecureBootThemes\Crypt\
    在以上这些目录中存在svchost.exe、spoolsv.exe、svchost.xml、x86.dll/x64.dll、TrueServiceHost.exe、tpmagentservice.dll等文件。
  2. 中毒主机对同网段主机有大量445连接。

病毒处置

1.使用autoruns.exe删掉病毒主服务srv,检查开机启动项和计划任务项。
2.删除上述文件夹中的病毒文件并关闭病毒进程。
3.使用SfabAntiBot.exe进行全盘查杀。下载地址: http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
4.关闭135,137,139,445网络共享端口
5.打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应系统的漏洞补丁https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

病毒详情

https://www.freebuf.com/articles/network/164869.html

Posted on

病毒现象

  1. C:\Windows\System32\MarsTraceDiagnostics.xml
    C:\Windows\AppDiagnostics\
    C:\Windows\System32\TrustedHostex.exe
    在以上这些目录中存在svchost.exe、spoolsv.exe、svchost.xml、x86.dll/x64.dll、MarsTraceDiagnostics.xml、snmpstorsrv.dll等文件。
  2. 中毒主机对同网段主机有大量445连接。

病毒处置

1.使用autoruns.exe删掉病毒主服务srv,检查开机启动项和计划任务项。
2.删除上述文件夹中的病毒文件并关闭病毒进程。
3.使用SfabAntiBot.exe进行全盘查杀。下载地址: http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
4.关闭135,137,139,445网络共享端口
5.打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应系统的漏洞补丁https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

病毒详情

https://www.freebuf.com/articles/terminal/190093.html

Posted on

病毒现象

安全设备报wmixml挖矿或者主机访问了wmixml矿池地址。

病毒处置

1.使用ProcessExplorer等工具找到挖矿的svchost.exe进程删除
2.使用autoruns.exe检查开机启动,删掉病毒服务
3.使用everything.exe查找appmg.dll、wvms_dp.inf、wmixml.dat文件,存在则删除
4.使用SfabAntiBot.exe进行全盘查杀。下载地址: http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
5.修补漏洞:如果内网使用了JBoss,请确认好版本并修补相关漏洞
6.修改密码:如果主机账号密码比较弱,建议重置高强度的密码

病毒详情

https://www.freebuf.com/articles/system/169445.html