8月2日通过态势感知平台,发现大量内部DNS服务器有恶意请求,且告警描述为:试图解析僵尸网络C&C服务器xmr-eu2.nanopool.org的地址,通过截图可以看到,用户每5分钟会定期向目的地址发送3次请求。

针对此域名,我们通过查询微步在线情报,查询该域名为恶意公共矿池

我们前期已经通过日志接入,将DNS的请求日志全部通过syslog服务,传递日志回来,因此可以针对性查找到是谁向dns服务器发起的请求。

通过筛选dns日志,查询域名xmr-eu2.nanopool.org

最后锁定到用户IP:10.200.21.219请求了该恶意矿池

同时通过搜索该IP的告警信息,也同时确认了,该用户有挖矿行为,每分钟都有多次请求公网地址185.221.67.16 port 7000的行为

通过身份认证系统,确认用户信息

找用户——提供专杀工具——杀毒

结果令人苦恼——全零

专杀没办法,碰运气,手动吧

登录用户电脑,先进行用户系统端口监听

netstat -ano

找什么?找到目的地址为外网,且端口为7000的这一条,因为我们之前排查到用户的访问请求端口就是7000,就是上面标记的那一条,然后找到对应PID为7088
拿到PID,就去进程里找进程

你打开的时候可能没有这个7088的PID进程,记住你需要等!进程会反复跳,并且不一定是持续存在的,这个里有个小技巧,按照PID项排序可以更方便你找到他。

我们锁定到了进程是dwm.exe,打开位置为C:\Windows\System32

当时忘了截图,文件被篡改了,现在只能提供正确的截图了,是这样的。有版权,有签名。

以下是dwm.exe挖矿病毒的一些材料:https://virus-removal-guide.net/zh-tw/48590-how-to-remove-a-dwm-exe-miner-infection/

最后找专杀,解决!

还有,专杀结束后,重启电脑,再依次执行以下2条命令(管理员运行cmd)

SFC /scannow

Dism /Online /Cleanup-Image /RestoreHealth

PS:其实除了专杀,我们公司有全员正版EDR,查毒效果也是不错的,只是没有解决这个病毒。(不过我后期分析No.10可能跟这个病毒有关,可能是我们没有重启主机后再查杀,我没给他太多的机会就自己搞定了)

查杀日志:

官网网址: https://edr.sangfor.com.cn
病毒库版本: 20230801123307
操作类型: 用户操作
查杀类型: 全盘扫描
扫描消耗时间: 03:01:31
开始扫描时间: 2023.08.02 15:30:32
结束扫描时间: 2023.08.02 18:32:03
扫描暂停时长(含休眠等导致扫描暂停的情况): 00:00:00
扫描文件总数: 543937
发现威胁总数: 17
处理威胁总数: 17

威胁详情:

NO.1
威胁名称: Application.Hacktool.KMSActivator.IV
病毒路径: d:\$recycle.bin\s-1-5-21-1557410930-3759912278-2324218772-1001\$rb8xtvs.rar
MD5: 0b266ec1535d59e5c61b8c019cb029aa
威胁等级: 低级威胁
处理状态: 已隔离

NO.2
威胁名称: Application.Hacktool.KMSActivator.IV
病毒路径: c:\users\kerberos\desktop\heu_kms_activator_ch_v19.6.1.rar
MD5: 0b266ec1535d59e5c61b8c019cb029aa
威胁等级: 低级威胁
处理状态: 已隔离

NO.3
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\*******\pictures\minor policy\yj0rdxl3orfym6parfwh7p4m.exe
MD5: 3b4d4e61450fac8024233963c219f9e3
威胁等级: 高级威胁
处理状态: 已隔离

NO.4
威胁名称: Infostealer.Win32.Kryptik.Vty7
病毒路径: c:\users\kerberos\pictures\minor policy\jrink451jxgdokypuun9yfd6.exe
MD5: d53e7f8f608af887e7e8ef7ab0c689cc
威胁等级: 低级威胁
处理状态: 已隔离

NO.5
威胁名称: Dropper.Win32.Agent.V5vq
病毒路径: c:\users\kerberos\pictures\minor policy\ghn_veg1a92oshtgo3vxjzsq.exe
MD5: 28f0ec0bc1c78ceae9834cdd5eebb838
威胁等级: 中级威胁
处理状态: 已隔离

NO.6
威胁名称: Dropper.Win32.Agent.V5vq
病毒路径: c:\users\kerberos\pictures\minor policy\blb346rj7jrxpicmusjyum__.exe
MD5: 28f0ec0bc1c78ceae9834cdd5eebb838
威胁等级: 中级威胁
处理状态: 已隔离

NO.7
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\o84r_ldrcogci9fxyltestxj.exe
MD5: 5d08687cfacc2da32db0c2abcdd64d48
威胁等级: 高级威胁
处理状态: 已隔离

NO.8
威胁名称: Infostealer.Win32.Kryptik.V12v
病毒路径: c:\users\kerberos\appdata\roaming\ikfd1jur\s7qk4a.exe
MD5: 9128efc9fad413abbb8913a24803d8a6
威胁等级: 低级威胁
处理状态: 已隔离

NO.9
威胁名称: Trojan.Win32.Tiggre.uyng
病毒路径: e:\安装文档\01sqlprompt\sqlprompt9.1(含P解器v5).rar
MD5: 8b265bf25a228d93983ac5a0e2a7d0d7
威胁等级: 中级威胁
处理状态: 已隔离

NO.10
威胁名称: Heur.BZC.WBO.Boxter.21.308BC78C
病毒路径: c:\windows\system32\tasks\windows subsystem modules\windows subsystem modules
MD5: b58cc38713ff44dbca08d33605c9a328
威胁等级: 低级威胁
处理状态: 已隔离

NO.11
威胁名称: Infostealer.Win32.Kryptik.Vty7
病毒路径: c:\users\kerberos\pictures\minor policy\_61zc798nq__v9vzr4tbhyn5.exe
MD5: d53e7f8f608af887e7e8ef7ab0c689cc
威胁等级: 低级威胁
处理状态: 已隔离

NO.12
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\scbcogwrnodi2jwcr51p4vxt.exe
MD5: 68f4c084be04c797b44247350b6ce1cf
威胁等级: 中级威胁
处理状态: 已隔离

NO.13
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\programdata\microsoft\auzqja\jip.chk
MD5: 6db172bf5be76ae3a6f12adca558aa08
威胁等级: 高级威胁
处理状态: 已隔离

NO.14
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\fggshqfbkvc2lytfoa29x4vy.exe
MD5: 897fa2487ee74a170abc3303160afc29
威胁等级: 中级威胁
处理状态: 已隔离

NO.15
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\cbuqun4oxq_zupmzlsgimpxy.exe
MD5: 897fa2487ee74a170abc3303160afc29
威胁等级: 中级威胁
处理状态: 已隔离

NO.16
威胁名称: Gen:Variant.Lazy.233996
病毒路径: c:\users\kerberos\appdata\local\pip\cache\http\1\7\a\0\9\17a0954e11e6eeebb77 3cb98da308b5e962efc5611b4f221459082cd
MD5: 489df19b9a135eaa8a662eb8cd5d9926
威胁等级: 低级威胁
处理状态: 已修复

NO.17
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\rxnlmv81toyxzw2yh5wgyep5.exe
MD5: 22fcfd522c1a3ee7f4509821d4b58f5e
威胁等级: 高级威胁
处理状态: 已隔离

查杀结束

记一次windows病毒联合排查全过程的更多相关文章

  1. 记一次线上bug排查-quartz线程调度相关

    记一次线上bug排查,与各位共同探讨. 概述:使用quartz做的定时任务,正式生产环境有个任务延迟了1小时之久才触发.在这一小时里各种排查找不出问题,直到延迟时间结束了,该任务才珊珊触发.原因主要就 ...

  2. 解Bug之路-记一次存储故障的排查过程

    解Bug之路-记一次存储故障的排查过程 高可用真是一丝细节都不得马虎.平时跑的好好的系统,在相应硬件出现故障时就会引发出潜在的Bug.偏偏这些故障在应用层的表现稀奇古怪,很难让人联想到是硬件出了问题, ...

  3. Windows入侵问题排查

    1.深入分析,查找入侵原因 1.1 检查帐户和弱口令 1.查看服务器已有系统或应用帐户是否存在弱口令 检查说明:主要检查系统管理员帐户.网站后台帐户.数据库帐户以及其他应用程序(FTP.Tomcao. ...

  4. 渗透中Meterpreter基本操作和对应的windows上的排查或者现象

    Meterpreter的简单介绍 Meterpreter 是MSF自带一个强大的SHELL,可以执行很多功能. Meterpreter SHELL 基本操作 meterpreter>backgr ...

  5. Watchbog挖矿病毒程序排查过程

    第1章 情况 1)服务器收到cpu报警,cpu被占用达到100%,登录服务器查看,发现cpu被一个watchbog的进程占满了,如下图所示: 2)并且无论如何都杀不掉,用kill杀掉后,其还是会隔一会 ...

  6. 记一次Windows蓝屏分析

    大半夜收到此类信息,应该是让所有系统管理员最头大的事情了 首先我快速通过iDRAC,发现服务器发生了重启操作,并得到相关日志信息 通过Dell的官方解释,确定了该问题是OS层面的异常导致.打开Wind ...

  7. Windows主机入侵排查

    检查系统信息.用户账号信息 系统信息 ● 查看系统版本以及补丁信息 systeminfo 用户账号信息 ● 基本使用 ○ 创建普通账号并加入administrarors 组 net user test ...

  8. 记一次windows下物理迁移数据库的过程

    背景:      最近因为一次设备故障,导致一台运行windows环境下的机器无法启动,里面有一个正在使用的财务数据库,该数据库也只是每月使用一次,需要把物理数据迁移出来,于是拔出了故障机器的硬盘,通 ...

  9. 捉虫记2:windows程序句柄泄露的上下文环境

    作为程序员,开发程序是基本功,而调试程序也是必不可少的技能之一.软件在主体功能开发完成后会经历各个阶段的测试,才会被发布.在测试过程中,出现较多的可能就是内存泄漏,句柄泄漏,异常崩溃等属于非功能型的软 ...

  10. 记一次redis病毒分析笔记

    起因 偶然间发现redis里有一个陌生key:tightsoft,它的值是:*/1 * * * * root curl -fsSL https://pastebin.com/raw/xbY7p5Tb| ...

随机推荐

  1. 如何成功将 API 客户的 transformer 模型推理速度加快 100 倍

    Transformers 已成为世界各地数据科学家用以探索最先进 NLP 模型.构建新 NLP 模块的默认库.它拥有超过 5000 个预训练和微调的模型,支持 250 多种语言,任君取用.无论你使用哪 ...

  2. Record - Dec. 2st, 2020 - Exam. REC

    Prob. 1 Desc. & Link. 有一个基础想法,即一次操作三可以用一次操作一加上一次操作二来实现,然后他又没让我们最小化操作次数,所以我们令 \(M=\min\{A+R,M\}\) ...

  3. ClickHouse(15)ClickHouse合并树MergeTree家族表引擎之GraphiteMergeTree详细解析

    GraphiteMergeTree该引擎用来对Graphite数据(图数据)进行瘦身及汇总.对于想使用ClickHouse来存储Graphite数据的开发者来说可能有用. 如果不需要对Graphite ...

  4. Shell 文件或目录操作符(-e、-d、-f、-r、-w、-x)

    操作符 操作符 含义-e 判断对象是否存在(Exist),若存在则结果为真-d 判断对象是否为目录(Directory),是则为真-f 判断对象是否为一般文件(File),是则为真-r 判断对象是否有 ...

  5. Strimzi Kafka Bridge(桥接)实战之三:自制sdk(golang版本)

    欢迎访问我的GitHub 这里分类和汇总了欣宸的全部原创(含配套源码):https://github.com/zq2599/blog_demos 本篇概览 本文是<Strimzi Kafka B ...

  6. 编译python为可执行文件遇到的问题:使用python-oracledb连接oracle数据库时出现错误:DPY-3010

    错误原文: DPY-3010: connections to this database server version are not supported by python-oracledb in ...

  7. AI在人才测评领域的应用情况概述

    目录 收起 一.AI技术的通俗理解 二.AI在人才测评领域的应用情况概述 三.AI在构建人才标准上的应用 1.人才标准构建 2.人才画像 3.人岗智能匹配 四.AI在人才测评实施方面的应用 1.AI面 ...

  8. 可观测性数据收集集大成者 Vector 介绍

    如果企业提供 IT 在线服务,那么可观测性能力是必不可少的."可观测性" 这个词近来也越发火爆,不懂 "可观测性" 都不好意思出门了.但是可观测性能力的构建却着 ...

  9. jenkins实践篇(2)—— 自动打tag的可回滚发布模式

    大家好,我是蓝胖子,在上一篇我简单介绍了如何基于特定分支做自动编译和发布,在生产环境中,为了更加安全和快速回滚,我采取的是通过对代码打tag的方式来进行部署,下面我将详细介绍整个发布过程的逻辑. 发布 ...

  10. JZYZ作业好题

    文章目录 敲砖块 Circle 敲砖块 首先把砖块向左对齐, 这样选择第 ( i , j ) (i,j) (i,j)块的前提是第 ( i − 1 , j ) , ( i − 1 , j + 1 ) ( ...