Window应急响应(六):NesMiner挖矿病毒
0x00 前言
作为一个运维工程师,而非一个专业的病毒分析工程师,遇到了比较复杂的病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它。
0x01 感染现象
1、向大量远程IP的445端口发送请求
2、使用各种杀毒软件查杀无果,虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件,但即使删除NerworkDistribution后,每次重启又会再次生成。
在查询了大量资料后,找到了一篇在2018年2月有关该病毒的报告:
NrsMiner:一个构造精密的挖矿僵尸网络
https://www.freebuf.com/articles/system/162874.html
根据文章提示,主控模块作为服务“Hyper-VAccess Protection Agent Service”的ServiceDll存在。但在用户的计算机并未找到该服务。
文章报道已然过去了一年多,这个病毒似乎是升级啦,于是有了如下排查过程。
0x02 事件分析
A、网络链接
通过现象,找到对外发送请求的进程ID:4960
B、进程分析
进一步通过进程ID找到相关联的进程,父进程为1464
找到进程ID为1464的服务项,逐一排查,我们发现服务项RemoteUPnPService存在异常。
C、删除服务
选择可疑服务项,右键属性,停止服务,启动类型:禁止。
停止并禁用服务,再清除NerworkDistribution目录后,重启计算机。异常请求和目录的现象消失。
又排查了几台,现象一致,就是服务项的名称有点变化。
0x03 病毒清除
NrsMiner挖矿病毒清除过程如下:
1、 停止并禁用可疑的服务项,服务项的名称会变,但描述是不变的,这给我。
可疑服务项描述:Enables a common interface and object model for the Remote UPnP Service to access
删除服务项:Sc delete RemoteUPnPService
2、 删除C:\Windows\NerworkDistribution目录
3、 重启计算机
4、 使用杀毒软件全盘查杀
5、 到微软官方网站下载对应操作系统补丁,下载链接:
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010
推荐阅读:
Window应急响应(一):FTP暴力破解
Window应急响应(二):蠕虫病毒
Window应急响应(三):勒索病毒
Window应急响应(四):挖矿病毒
Window应急响应(五):ARP病毒
Window应急响应(六):NesMiner挖矿病毒
转载于:https://www.cnblogs.com/xiaozi/p/10845635.html
Window应急响应(六):NesMiner挖矿病毒相关推荐
- Window应急响应(四):挖矿病毒
0x00 前言 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一.病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升 ...
- 网络安全应急响应----6、挖矿攻击应急响应
文章目录 一.挖矿木马简介 1.挖矿流程 2.挖矿木马的传播方式 二.常见的挖矿木马 三.挖矿木马应急响应方法 3.1.隔离被感染的服务器/主机 3.2.确认挖矿进程 3.3.系统排查 3.3.1.判 ...
- 网络安全应急响应----5、勒索病毒应急响应
文章目录 一.勒索病毒简介 二.常见勒索病毒 三.勒索病毒常见利用漏洞 四.勒索病毒的解密 4.1.常见的可解密勒索家族类型 4.2.处理勒索病毒常用工具 五.勒索病毒的攻击 5.1.勒索病毒的攻击方 ...
- Window应急响应(六 ARP病毒)
0x00 前言 ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称,目前在局域网中较为常见.发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚 ...
- Window应急响应(二):蠕虫病毒
0x00 前言 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序. 常见的 ...
- Windows应急响应——处置Wa Kuang病毒笔记
此次复现挖矿清除不溯源,只是简单的记一下 一.事件背景 近期接到客户反馈,其网络中有部分 Windows 系统终端机器异常,CPU经常飙到100%,电脑使用卡顿. 二.事件处理 2.1 进程定位 查看 ...
- window操作系统服务器应急响应流程
常见的应急响应事件分类: web 入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS 攻击.DNS 劫持.ARP 欺骗 针对常见的攻击事件,结合工作 ...
- Linux 应急响应流程及实战演练
当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为 ...
- 勒索病毒应急响应指南
勒索病毒应急响应指南 1.勒索病毒的攻击特点 2.隔离被感染的服务器/主机 3.排查业务系统 4.确定勒索病毒种类,进行溯源分析 5.恢复数据和业务 6.清除加固 7.勒索病毒的防御方法 个人终端防御 ...
最新文章
- Nginx 之父被拘留,时隔15年后,前老板提起了版权侵权诉讼!
- php admin配置my sql,安装Mysqlphpadmin
- JAVA线程池管理及分布式HADOOP调度框架搭建
- 一次二次开发中的经验与教训(二)
- node11---相册
- matlab铣削,基于MATLAB的微细铣削力分析
- 优化Hibernate所鼓励的7大措施
- java集合清空_java 集合删除数据
- AndroidManifest.xml中的android:name是否带.的区别
- Android之常见问题集锦Ⅰ
- zabbix监控搭建以及客户端安装
- python统计中文字数_Python实现统计文本文件字数的方法
- Socket编程入门(一)实现简单的Socket实例
- 宾馆管理系统(做了ppt忘记发博客了)
- dp hp oracle 备份软件_HPDP备份软件设置
- Windows 2000 安全检查清单( 摘自《网络与安全》)
- IPA-蛋白质组、代谢组、转录组分析利器
- mac iphone模拟器 真机 操作
- 智慧灯杆系统设计架构简介
- 英语3500词(十一)entertainment主题(2022.1.23)
热门文章
- 如果你爱上一个天枰座的女生。
- 苹果三代耳机_链接2020.6.13其他团无线蓝牙耳机
- [IOT安全][原创]钉钉智能指纹考勤机M1智能硬件漏洞挖掘(一)
- 社会要去温暖每一个打工人
- 车内看车头正不正技巧_【交通安全提示】科二曲线行驶技巧图解,蜀黍手把手教你过关!...
- 属于拼多多的巴别塔正在构筑
- 【perl】正则匹配中的括号套括号的套娃抓取规则
- java实现下载网络图片到本地
- 【ZYNQ】T9+控制板硬件概览与修复 (持续更新中)
- 数据仓库基础3-整明白粒度