8月2日通过态势感知平台,发现大量内部DNS服务器有恶意请求,且告警描述为:试图解析僵尸网络C&C服务器xmr-eu2.nanopool.org的地址,通过截图可以看到,用户每5分钟会定期向目的地址发送3次请求。

针对此域名,我们通过查询微步在线情报,查询该域名为恶意公共矿池

我们前期已经通过日志接入,将DNS的请求日志全部通过syslog服务,传递日志回来,因此可以针对性查找到是谁向dns服务器发起的请求。

通过筛选dns日志,查询域名xmr-eu2.nanopool.org

最后锁定到用户IP:10.200.21.219请求了该恶意矿池

同时通过搜索该IP的告警信息,也同时确认了,该用户有挖矿行为,每分钟都有多次请求公网地址185.221.67.16 port 7000的行为

通过身份认证系统,确认用户信息

找用户——提供专杀工具——杀毒

结果令人苦恼——全零

专杀没办法,碰运气,手动吧

登录用户电脑,先进行用户系统端口监听

netstat -ano

找什么?找到目的地址为外网,且端口为7000的这一条,因为我们之前排查到用户的访问请求端口就是7000,就是上面标记的那一条,然后找到对应PID为7088
拿到PID,就去进程里找进程

你打开的时候可能没有这个7088的PID进程,记住你需要等!进程会反复跳,并且不一定是持续存在的,这个里有个小技巧,按照PID项排序可以更方便你找到他。

我们锁定到了进程是dwm.exe,打开位置为C:\Windows\System32

当时忘了截图,文件被篡改了,现在只能提供正确的截图了,是这样的。有版权,有签名。

以下是dwm.exe挖矿病毒的一些材料:https://virus-removal-guide.net/zh-tw/48590-how-to-remove-a-dwm-exe-miner-infection/

最后找专杀,解决!

还有,专杀结束后,重启电脑,再依次执行以下2条命令(管理员运行cmd)

SFC /scannow

Dism /Online /Cleanup-Image /RestoreHealth

PS:其实除了专杀,我们公司有全员正版EDR,查毒效果也是不错的,只是没有解决这个病毒。(不过我后期分析No.10可能跟这个病毒有关,可能是我们没有重启主机后再查杀,我没给他太多的机会就自己搞定了)

查杀日志:

官网网址: https://edr.sangfor.com.cn
病毒库版本: 20230801123307
操作类型: 用户操作
查杀类型: 全盘扫描
扫描消耗时间: 03:01:31
开始扫描时间: 2023.08.02 15:30:32
结束扫描时间: 2023.08.02 18:32:03
扫描暂停时长(含休眠等导致扫描暂停的情况): 00:00:00
扫描文件总数: 543937
发现威胁总数: 17
处理威胁总数: 17

威胁详情:

NO.1
威胁名称: Application.Hacktool.KMSActivator.IV
病毒路径: d:\$recycle.bin\s-1-5-21-1557410930-3759912278-2324218772-1001\$rb8xtvs.rar
MD5: 0b266ec1535d59e5c61b8c019cb029aa
威胁等级: 低级威胁
处理状态: 已隔离

NO.2
威胁名称: Application.Hacktool.KMSActivator.IV
病毒路径: c:\users\kerberos\desktop\heu_kms_activator_ch_v19.6.1.rar
MD5: 0b266ec1535d59e5c61b8c019cb029aa
威胁等级: 低级威胁
处理状态: 已隔离

NO.3
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\*******\pictures\minor policy\yj0rdxl3orfym6parfwh7p4m.exe
MD5: 3b4d4e61450fac8024233963c219f9e3
威胁等级: 高级威胁
处理状态: 已隔离

NO.4
威胁名称: Infostealer.Win32.Kryptik.Vty7
病毒路径: c:\users\kerberos\pictures\minor policy\jrink451jxgdokypuun9yfd6.exe
MD5: d53e7f8f608af887e7e8ef7ab0c689cc
威胁等级: 低级威胁
处理状态: 已隔离

NO.5
威胁名称: Dropper.Win32.Agent.V5vq
病毒路径: c:\users\kerberos\pictures\minor policy\ghn_veg1a92oshtgo3vxjzsq.exe
MD5: 28f0ec0bc1c78ceae9834cdd5eebb838
威胁等级: 中级威胁
处理状态: 已隔离

NO.6
威胁名称: Dropper.Win32.Agent.V5vq
病毒路径: c:\users\kerberos\pictures\minor policy\blb346rj7jrxpicmusjyum__.exe
MD5: 28f0ec0bc1c78ceae9834cdd5eebb838
威胁等级: 中级威胁
处理状态: 已隔离

NO.7
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\o84r_ldrcogci9fxyltestxj.exe
MD5: 5d08687cfacc2da32db0c2abcdd64d48
威胁等级: 高级威胁
处理状态: 已隔离

NO.8
威胁名称: Infostealer.Win32.Kryptik.V12v
病毒路径: c:\users\kerberos\appdata\roaming\ikfd1jur\s7qk4a.exe
MD5: 9128efc9fad413abbb8913a24803d8a6
威胁等级: 低级威胁
处理状态: 已隔离

NO.9
威胁名称: Trojan.Win32.Tiggre.uyng
病毒路径: e:\安装文档\01sqlprompt\sqlprompt9.1(含P解器v5).rar
MD5: 8b265bf25a228d93983ac5a0e2a7d0d7
威胁等级: 中级威胁
处理状态: 已隔离

NO.10
威胁名称: Heur.BZC.WBO.Boxter.21.308BC78C
病毒路径: c:\windows\system32\tasks\windows subsystem modules\windows subsystem modules
MD5: b58cc38713ff44dbca08d33605c9a328
威胁等级: 低级威胁
处理状态: 已隔离

NO.11
威胁名称: Infostealer.Win32.Kryptik.Vty7
病毒路径: c:\users\kerberos\pictures\minor policy\_61zc798nq__v9vzr4tbhyn5.exe
MD5: d53e7f8f608af887e7e8ef7ab0c689cc
威胁等级: 低级威胁
处理状态: 已隔离

NO.12
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\scbcogwrnodi2jwcr51p4vxt.exe
MD5: 68f4c084be04c797b44247350b6ce1cf
威胁等级: 中级威胁
处理状态: 已隔离

NO.13
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\programdata\microsoft\auzqja\jip.chk
MD5: 6db172bf5be76ae3a6f12adca558aa08
威胁等级: 高级威胁
处理状态: 已隔离

NO.14
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\fggshqfbkvc2lytfoa29x4vy.exe
MD5: 897fa2487ee74a170abc3303160afc29
威胁等级: 中级威胁
处理状态: 已隔离

NO.15
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\cbuqun4oxq_zupmzlsgimpxy.exe
MD5: 897fa2487ee74a170abc3303160afc29
威胁等级: 中级威胁
处理状态: 已隔离

NO.16
威胁名称: Gen:Variant.Lazy.233996
病毒路径: c:\users\kerberos\appdata\local\pip\cache\http\1\7\a\0\9\17a0954e11e6eeebb77 3cb98da308b5e962efc5611b4f221459082cd
MD5: 489df19b9a135eaa8a662eb8cd5d9926
威胁等级: 低级威胁
处理状态: 已修复

NO.17
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\rxnlmv81toyxzw2yh5wgyep5.exe
MD5: 22fcfd522c1a3ee7f4509821d4b58f5e
威胁等级: 高级威胁
处理状态: 已隔离

查杀结束

记一次windows病毒联合排查全过程的更多相关文章

  1. 记一次线上bug排查-quartz线程调度相关

    记一次线上bug排查,与各位共同探讨. 概述:使用quartz做的定时任务,正式生产环境有个任务延迟了1小时之久才触发.在这一小时里各种排查找不出问题,直到延迟时间结束了,该任务才珊珊触发.原因主要就 ...

  2. 解Bug之路-记一次存储故障的排查过程

    解Bug之路-记一次存储故障的排查过程 高可用真是一丝细节都不得马虎.平时跑的好好的系统,在相应硬件出现故障时就会引发出潜在的Bug.偏偏这些故障在应用层的表现稀奇古怪,很难让人联想到是硬件出了问题, ...

  3. Windows入侵问题排查

    1.深入分析,查找入侵原因 1.1 检查帐户和弱口令 1.查看服务器已有系统或应用帐户是否存在弱口令 检查说明:主要检查系统管理员帐户.网站后台帐户.数据库帐户以及其他应用程序(FTP.Tomcao. ...

  4. 渗透中Meterpreter基本操作和对应的windows上的排查或者现象

    Meterpreter的简单介绍 Meterpreter 是MSF自带一个强大的SHELL,可以执行很多功能. Meterpreter SHELL 基本操作 meterpreter>backgr ...

  5. Watchbog挖矿病毒程序排查过程

    第1章 情况 1)服务器收到cpu报警,cpu被占用达到100%,登录服务器查看,发现cpu被一个watchbog的进程占满了,如下图所示: 2)并且无论如何都杀不掉,用kill杀掉后,其还是会隔一会 ...

  6. 记一次Windows蓝屏分析

    大半夜收到此类信息,应该是让所有系统管理员最头大的事情了 首先我快速通过iDRAC,发现服务器发生了重启操作,并得到相关日志信息 通过Dell的官方解释,确定了该问题是OS层面的异常导致.打开Wind ...

  7. Windows主机入侵排查

    检查系统信息.用户账号信息 系统信息 ● 查看系统版本以及补丁信息 systeminfo 用户账号信息 ● 基本使用 ○ 创建普通账号并加入administrarors 组 net user test ...

  8. 记一次windows下物理迁移数据库的过程

    背景:      最近因为一次设备故障,导致一台运行windows环境下的机器无法启动,里面有一个正在使用的财务数据库,该数据库也只是每月使用一次,需要把物理数据迁移出来,于是拔出了故障机器的硬盘,通 ...

  9. 捉虫记2:windows程序句柄泄露的上下文环境

    作为程序员,开发程序是基本功,而调试程序也是必不可少的技能之一.软件在主体功能开发完成后会经历各个阶段的测试,才会被发布.在测试过程中,出现较多的可能就是内存泄漏,句柄泄漏,异常崩溃等属于非功能型的软 ...

  10. 记一次redis病毒分析笔记

    起因 偶然间发现redis里有一个陌生key:tightsoft,它的值是:*/1 * * * * root curl -fsSL https://pastebin.com/raw/xbY7p5Tb| ...

随机推荐

  1. Record - Nov. 21st, 2020 - Exam. REC & SOL

    Craft Prob. 1 Desc. & Link. 有想法. printf( "nan" ); Prob.2 Desc. & Link. 没读懂 Prob. 3 ...

  2. 用Rust手把手编写一个Proxy(代理), UDP绑定篇

    用Rust手把手编写一个Proxy(代理), UDP绑定篇 项目 ++wmproxy++ gite: https://gitee.com/tickbh/wmproxy github: https:// ...

  3. ​Python爬虫IP代理池的建立和使用

    写在前面建立Python爬虫IP代理池可以提高爬虫的稳定性和效率,可以有效避免IP被封锁或限制访问等问题. 下面是建立Python爬虫IP代理池的详细步骤和代码实现: 1. 获取代理IP我们可以从一些 ...

  4. Informix 4gl错误代码信息和更正

    (一)Informix信息和更正 出版日期:6 1996 年 年 1 11 月 0 成功. 操作成功.当 SQL 语句成功地执行时,数据库服务器把这个 SQLCODE 值返回给应用程序. 100 没有 ...

  5. CF433B

    题目简化和分析: 为了更加快速的求出答案,好像没前缀和快速. 为了大家更好的理解线段树,我们使用了线段树. 如果您并不了解线段树,可以转战模板. 因为我们知道线段树可以快速求区间和,于是我们建两棵树. ...

  6. go使用snmp库查询mib数据

    转载请注明出处: OID(Object Identifier)是一种用于标识和唯一命名管理信息库中的对象的标准方式.给定一个OID,可以确定特定的管理信息库对象,并对其进行操作. go语言使用snmp ...

  7. 关于长链剖分的数组实现 | CF1009F Dominant Indices

    请容许我不理解一下为什么这题题解几乎全都是指针实现/kk 其实长链剖分是可以直接用数组来写的. 考虑朴素 DP.设 \(f_{u,i}\) 表示以点 \(u\) 为根的子树中与点 \(u\) 距离为 ...

  8. Java线程安全详解

    并发与多线程 blog:https://devonmusa.github.io 1 常见概念 1.1 操作系统线程运行状态 NEW RUNNABLE RUNNING BLOCKED 1.2 Java虚 ...

  9. JS逆向实战25——某壳找房模拟登录+百度喵星人指纹加密破解.

    声明 本文章中所有内容仅供学习交流,抓包内容.敏感网址.数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 目标 目标网站 aHR0c ...

  10. c#桥接模式详解

    基础介绍:   将抽象部分与它的实现部分分离,使它们都可以独立地变化.适用于不希望在抽象和实现部分之间有固定的绑定关系的情况,或者类的抽象以及它的实现都应该可以通过生成子类的方法加以扩充的情况.    ...