8月2日通过态势感知平台,发现大量内部DNS服务器有恶意请求,且告警描述为:试图解析僵尸网络C&C服务器xmr-eu2.nanopool.org的地址,通过截图可以看到,用户每5分钟会定期向目的地址发送3次请求。

针对此域名,我们通过查询微步在线情报,查询该域名为恶意公共矿池

我们前期已经通过日志接入,将DNS的请求日志全部通过syslog服务,传递日志回来,因此可以针对性查找到是谁向dns服务器发起的请求。

通过筛选dns日志,查询域名xmr-eu2.nanopool.org

最后锁定到用户IP:10.200.21.219请求了该恶意矿池

同时通过搜索该IP的告警信息,也同时确认了,该用户有挖矿行为,每分钟都有多次请求公网地址185.221.67.16 port 7000的行为

通过身份认证系统,确认用户信息

找用户——提供专杀工具——杀毒

结果令人苦恼——全零

专杀没办法,碰运气,手动吧

登录用户电脑,先进行用户系统端口监听

netstat -ano

找什么?找到目的地址为外网,且端口为7000的这一条,因为我们之前排查到用户的访问请求端口就是7000,就是上面标记的那一条,然后找到对应PID为7088
拿到PID,就去进程里找进程

你打开的时候可能没有这个7088的PID进程,记住你需要等!进程会反复跳,并且不一定是持续存在的,这个里有个小技巧,按照PID项排序可以更方便你找到他。

我们锁定到了进程是dwm.exe,打开位置为C:\Windows\System32

当时忘了截图,文件被篡改了,现在只能提供正确的截图了,是这样的。有版权,有签名。

以下是dwm.exe挖矿病毒的一些材料:https://virus-removal-guide.net/zh-tw/48590-how-to-remove-a-dwm-exe-miner-infection/

最后找专杀,解决!

还有,专杀结束后,重启电脑,再依次执行以下2条命令(管理员运行cmd)

SFC /scannow

Dism /Online /Cleanup-Image /RestoreHealth

PS:其实除了专杀,我们公司有全员正版EDR,查毒效果也是不错的,只是没有解决这个病毒。(不过我后期分析No.10可能跟这个病毒有关,可能是我们没有重启主机后再查杀,我没给他太多的机会就自己搞定了)

查杀日志:

官网网址: https://edr.sangfor.com.cn
病毒库版本: 20230801123307
操作类型: 用户操作
查杀类型: 全盘扫描
扫描消耗时间: 03:01:31
开始扫描时间: 2023.08.02 15:30:32
结束扫描时间: 2023.08.02 18:32:03
扫描暂停时长(含休眠等导致扫描暂停的情况): 00:00:00
扫描文件总数: 543937
发现威胁总数: 17
处理威胁总数: 17

威胁详情:

NO.1
威胁名称: Application.Hacktool.KMSActivator.IV
病毒路径: d:\$recycle.bin\s-1-5-21-1557410930-3759912278-2324218772-1001\$rb8xtvs.rar
MD5: 0b266ec1535d59e5c61b8c019cb029aa
威胁等级: 低级威胁
处理状态: 已隔离

NO.2
威胁名称: Application.Hacktool.KMSActivator.IV
病毒路径: c:\users\kerberos\desktop\heu_kms_activator_ch_v19.6.1.rar
MD5: 0b266ec1535d59e5c61b8c019cb029aa
威胁等级: 低级威胁
处理状态: 已隔离

NO.3
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\*******\pictures\minor policy\yj0rdxl3orfym6parfwh7p4m.exe
MD5: 3b4d4e61450fac8024233963c219f9e3
威胁等级: 高级威胁
处理状态: 已隔离

NO.4
威胁名称: Infostealer.Win32.Kryptik.Vty7
病毒路径: c:\users\kerberos\pictures\minor policy\jrink451jxgdokypuun9yfd6.exe
MD5: d53e7f8f608af887e7e8ef7ab0c689cc
威胁等级: 低级威胁
处理状态: 已隔离

NO.5
威胁名称: Dropper.Win32.Agent.V5vq
病毒路径: c:\users\kerberos\pictures\minor policy\ghn_veg1a92oshtgo3vxjzsq.exe
MD5: 28f0ec0bc1c78ceae9834cdd5eebb838
威胁等级: 中级威胁
处理状态: 已隔离

NO.6
威胁名称: Dropper.Win32.Agent.V5vq
病毒路径: c:\users\kerberos\pictures\minor policy\blb346rj7jrxpicmusjyum__.exe
MD5: 28f0ec0bc1c78ceae9834cdd5eebb838
威胁等级: 中级威胁
处理状态: 已隔离

NO.7
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\o84r_ldrcogci9fxyltestxj.exe
MD5: 5d08687cfacc2da32db0c2abcdd64d48
威胁等级: 高级威胁
处理状态: 已隔离

NO.8
威胁名称: Infostealer.Win32.Kryptik.V12v
病毒路径: c:\users\kerberos\appdata\roaming\ikfd1jur\s7qk4a.exe
MD5: 9128efc9fad413abbb8913a24803d8a6
威胁等级: 低级威胁
处理状态: 已隔离

NO.9
威胁名称: Trojan.Win32.Tiggre.uyng
病毒路径: e:\安装文档\01sqlprompt\sqlprompt9.1(含P解器v5).rar
MD5: 8b265bf25a228d93983ac5a0e2a7d0d7
威胁等级: 中级威胁
处理状态: 已隔离

NO.10
威胁名称: Heur.BZC.WBO.Boxter.21.308BC78C
病毒路径: c:\windows\system32\tasks\windows subsystem modules\windows subsystem modules
MD5: b58cc38713ff44dbca08d33605c9a328
威胁等级: 低级威胁
处理状态: 已隔离

NO.11
威胁名称: Infostealer.Win32.Kryptik.Vty7
病毒路径: c:\users\kerberos\pictures\minor policy\_61zc798nq__v9vzr4tbhyn5.exe
MD5: d53e7f8f608af887e7e8ef7ab0c689cc
威胁等级: 低级威胁
处理状态: 已隔离

NO.12
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\scbcogwrnodi2jwcr51p4vxt.exe
MD5: 68f4c084be04c797b44247350b6ce1cf
威胁等级: 中级威胁
处理状态: 已隔离

NO.13
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\programdata\microsoft\auzqja\jip.chk
MD5: 6db172bf5be76ae3a6f12adca558aa08
威胁等级: 高级威胁
处理状态: 已隔离

NO.14
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\fggshqfbkvc2lytfoa29x4vy.exe
MD5: 897fa2487ee74a170abc3303160afc29
威胁等级: 中级威胁
处理状态: 已隔离

NO.15
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\cbuqun4oxq_zupmzlsgimpxy.exe
MD5: 897fa2487ee74a170abc3303160afc29
威胁等级: 中级威胁
处理状态: 已隔离

NO.16
威胁名称: Gen:Variant.Lazy.233996
病毒路径: c:\users\kerberos\appdata\local\pip\cache\http\1\7\a\0\9\17a0954e11e6eeebb77 3cb98da308b5e962efc5611b4f221459082cd
MD5: 489df19b9a135eaa8a662eb8cd5d9926
威胁等级: 低级威胁
处理状态: 已修复

NO.17
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\rxnlmv81toyxzw2yh5wgyep5.exe
MD5: 22fcfd522c1a3ee7f4509821d4b58f5e
威胁等级: 高级威胁
处理状态: 已隔离

查杀结束

记一次windows病毒联合排查全过程的更多相关文章

  1. 记一次线上bug排查-quartz线程调度相关

    记一次线上bug排查,与各位共同探讨. 概述:使用quartz做的定时任务,正式生产环境有个任务延迟了1小时之久才触发.在这一小时里各种排查找不出问题,直到延迟时间结束了,该任务才珊珊触发.原因主要就 ...

  2. 解Bug之路-记一次存储故障的排查过程

    解Bug之路-记一次存储故障的排查过程 高可用真是一丝细节都不得马虎.平时跑的好好的系统,在相应硬件出现故障时就会引发出潜在的Bug.偏偏这些故障在应用层的表现稀奇古怪,很难让人联想到是硬件出了问题, ...

  3. Windows入侵问题排查

    1.深入分析,查找入侵原因 1.1 检查帐户和弱口令 1.查看服务器已有系统或应用帐户是否存在弱口令 检查说明:主要检查系统管理员帐户.网站后台帐户.数据库帐户以及其他应用程序(FTP.Tomcao. ...

  4. 渗透中Meterpreter基本操作和对应的windows上的排查或者现象

    Meterpreter的简单介绍 Meterpreter 是MSF自带一个强大的SHELL,可以执行很多功能. Meterpreter SHELL 基本操作 meterpreter>backgr ...

  5. Watchbog挖矿病毒程序排查过程

    第1章 情况 1)服务器收到cpu报警,cpu被占用达到100%,登录服务器查看,发现cpu被一个watchbog的进程占满了,如下图所示: 2)并且无论如何都杀不掉,用kill杀掉后,其还是会隔一会 ...

  6. 记一次Windows蓝屏分析

    大半夜收到此类信息,应该是让所有系统管理员最头大的事情了 首先我快速通过iDRAC,发现服务器发生了重启操作,并得到相关日志信息 通过Dell的官方解释,确定了该问题是OS层面的异常导致.打开Wind ...

  7. Windows主机入侵排查

    检查系统信息.用户账号信息 系统信息 ● 查看系统版本以及补丁信息 systeminfo 用户账号信息 ● 基本使用 ○ 创建普通账号并加入administrarors 组 net user test ...

  8. 记一次windows下物理迁移数据库的过程

    背景:      最近因为一次设备故障,导致一台运行windows环境下的机器无法启动,里面有一个正在使用的财务数据库,该数据库也只是每月使用一次,需要把物理数据迁移出来,于是拔出了故障机器的硬盘,通 ...

  9. 捉虫记2:windows程序句柄泄露的上下文环境

    作为程序员,开发程序是基本功,而调试程序也是必不可少的技能之一.软件在主体功能开发完成后会经历各个阶段的测试,才会被发布.在测试过程中,出现较多的可能就是内存泄漏,句柄泄漏,异常崩溃等属于非功能型的软 ...

  10. 记一次redis病毒分析笔记

    起因 偶然间发现redis里有一个陌生key:tightsoft,它的值是:*/1 * * * * root curl -fsSL https://pastebin.com/raw/xbY7p5Tb| ...

随机推荐

  1. 浅入深出的微前端MicroApp

    前言: 本文是由最近做的一个项目有感而发,因为之前做了一些技术栈的统一,为了用ant Design的pro-table,PC统一使用react,但是我们有一些老的项目是vue的,本次新页面较多,老页面 ...

  2. 新零售SaaS架构:面向中小连锁的SaaS系统整体规划

    零售企业的发展路径 零售企业的发展路径一般可分为以下几个阶段: 单店经营阶段:企业在一个地区或城市开设单个门店.这时,企业需要把精力放在了解当地市场和顾客需求上,这是积累经验和品牌知名度的重要环节.为 ...

  3. 【遥遥领先】Eolink IDEA 插件:零代码入侵,自动生成接口

    省流版: Eolink 有 IDEA 插件吗? 有,而且遥遥领先!我们在一年半之前就发布了,而且功能更丰富! IDEA 插件市场搜索"Eolink Apikit"即可安装使用. 使 ...

  4. Sentinel源码改造,实现Nacos双向通信!

    Sentinel Dashboard(控制台)默认情况下,只能将配置规则保存到内存中,这样就会导致 Sentinel Dashboard 重启后配置规则丢失的情况,因此我们需要将规则保存到某种数据源中 ...

  5. 如何使用DALL-E 3

    如何使用 DALL-E 3:OpenAI 图像生成指南 DALL-E 3 是 OpenAI 图像生成器的高级版本,它可以理解自然语言提示来创建详细图像. 它克服了以前版本的方形图像限制,现在支持各种宽 ...

  6. vscode 切换分支时报错:The following untracked working tree files would be overwritten .....

    执行命令:git clean -d -fx   表示删除 一些 没有 git add 的 文件: git clean 参数 -n 显示将要删除的文件和目录: -x -----删除忽略文件已经对git来 ...

  7. 🔥🔥TCP协议:超时重传、流量控制、keep-alive和端口号,你真的了解吗?

    引言 在之前的讲解中,我们已经介绍了TCP协议的一些面试内容,相信大家对于TCP也有了一些新的了解.今天,我们将继续深入探讨TCP的超时重传.流量控制.TCP的keepalive机制以及端口号等相关信 ...

  8. srm-50

    刚开始拿到题目没有思路,看了字符串发现也没什么特别的,也没有提示输入什么什么,然后找到main函数,f5进去以后也没什么特别的 然后就看了wp发现得从程序本身出发去解决问题 点开程序,随便输入点什么 ...

  9. JavaScript高级程序设计笔记07 迭代器与生成器

    迭代器与生成器 1.迭代 反复多次执行一段程序,(有明确的终止条件) 迭代器.生成器 ES6 计数循环(for):最简单的迭代 迭代次数.迭代每次执行的操作 (顺序已知) 古早迭代(有序->数组 ...

  10. JavaSE中的一些面试题

    list与Set区别 List 和 Set 是 Java 集合中两个重要的接口,它们在数据存储.数据查找.数据操作等方面有以下几个不同点: 1. 数据存储方式不同:List 是一个有序的 Collec ...