8月2日通过态势感知平台,发现大量内部DNS服务器有恶意请求,且告警描述为:试图解析僵尸网络C&C服务器xmr-eu2.nanopool.org的地址,通过截图可以看到,用户每5分钟会定期向目的地址发送3次请求。

针对此域名,我们通过查询微步在线情报,查询该域名为恶意公共矿池

我们前期已经通过日志接入,将DNS的请求日志全部通过syslog服务,传递日志回来,因此可以针对性查找到是谁向dns服务器发起的请求。

通过筛选dns日志,查询域名xmr-eu2.nanopool.org

最后锁定到用户IP:10.200.21.219请求了该恶意矿池

同时通过搜索该IP的告警信息,也同时确认了,该用户有挖矿行为,每分钟都有多次请求公网地址185.221.67.16 port 7000的行为

通过身份认证系统,确认用户信息

找用户——提供专杀工具——杀毒

结果令人苦恼——全零

专杀没办法,碰运气,手动吧

登录用户电脑,先进行用户系统端口监听

netstat -ano

找什么?找到目的地址为外网,且端口为7000的这一条,因为我们之前排查到用户的访问请求端口就是7000,就是上面标记的那一条,然后找到对应PID为7088
拿到PID,就去进程里找进程

你打开的时候可能没有这个7088的PID进程,记住你需要等!进程会反复跳,并且不一定是持续存在的,这个里有个小技巧,按照PID项排序可以更方便你找到他。

我们锁定到了进程是dwm.exe,打开位置为C:\Windows\System32

当时忘了截图,文件被篡改了,现在只能提供正确的截图了,是这样的。有版权,有签名。

以下是dwm.exe挖矿病毒的一些材料:https://virus-removal-guide.net/zh-tw/48590-how-to-remove-a-dwm-exe-miner-infection/

最后找专杀,解决!

还有,专杀结束后,重启电脑,再依次执行以下2条命令(管理员运行cmd)

SFC /scannow

Dism /Online /Cleanup-Image /RestoreHealth

PS:其实除了专杀,我们公司有全员正版EDR,查毒效果也是不错的,只是没有解决这个病毒。(不过我后期分析No.10可能跟这个病毒有关,可能是我们没有重启主机后再查杀,我没给他太多的机会就自己搞定了)

查杀日志:

官网网址: https://edr.sangfor.com.cn
病毒库版本: 20230801123307
操作类型: 用户操作
查杀类型: 全盘扫描
扫描消耗时间: 03:01:31
开始扫描时间: 2023.08.02 15:30:32
结束扫描时间: 2023.08.02 18:32:03
扫描暂停时长(含休眠等导致扫描暂停的情况): 00:00:00
扫描文件总数: 543937
发现威胁总数: 17
处理威胁总数: 17

威胁详情:

NO.1
威胁名称: Application.Hacktool.KMSActivator.IV
病毒路径: d:\$recycle.bin\s-1-5-21-1557410930-3759912278-2324218772-1001\$rb8xtvs.rar
MD5: 0b266ec1535d59e5c61b8c019cb029aa
威胁等级: 低级威胁
处理状态: 已隔离

NO.2
威胁名称: Application.Hacktool.KMSActivator.IV
病毒路径: c:\users\kerberos\desktop\heu_kms_activator_ch_v19.6.1.rar
MD5: 0b266ec1535d59e5c61b8c019cb029aa
威胁等级: 低级威胁
处理状态: 已隔离

NO.3
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\*******\pictures\minor policy\yj0rdxl3orfym6parfwh7p4m.exe
MD5: 3b4d4e61450fac8024233963c219f9e3
威胁等级: 高级威胁
处理状态: 已隔离

NO.4
威胁名称: Infostealer.Win32.Kryptik.Vty7
病毒路径: c:\users\kerberos\pictures\minor policy\jrink451jxgdokypuun9yfd6.exe
MD5: d53e7f8f608af887e7e8ef7ab0c689cc
威胁等级: 低级威胁
处理状态: 已隔离

NO.5
威胁名称: Dropper.Win32.Agent.V5vq
病毒路径: c:\users\kerberos\pictures\minor policy\ghn_veg1a92oshtgo3vxjzsq.exe
MD5: 28f0ec0bc1c78ceae9834cdd5eebb838
威胁等级: 中级威胁
处理状态: 已隔离

NO.6
威胁名称: Dropper.Win32.Agent.V5vq
病毒路径: c:\users\kerberos\pictures\minor policy\blb346rj7jrxpicmusjyum__.exe
MD5: 28f0ec0bc1c78ceae9834cdd5eebb838
威胁等级: 中级威胁
处理状态: 已隔离

NO.7
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\o84r_ldrcogci9fxyltestxj.exe
MD5: 5d08687cfacc2da32db0c2abcdd64d48
威胁等级: 高级威胁
处理状态: 已隔离

NO.8
威胁名称: Infostealer.Win32.Kryptik.V12v
病毒路径: c:\users\kerberos\appdata\roaming\ikfd1jur\s7qk4a.exe
MD5: 9128efc9fad413abbb8913a24803d8a6
威胁等级: 低级威胁
处理状态: 已隔离

NO.9
威胁名称: Trojan.Win32.Tiggre.uyng
病毒路径: e:\安装文档\01sqlprompt\sqlprompt9.1(含P解器v5).rar
MD5: 8b265bf25a228d93983ac5a0e2a7d0d7
威胁等级: 中级威胁
处理状态: 已隔离

NO.10
威胁名称: Heur.BZC.WBO.Boxter.21.308BC78C
病毒路径: c:\windows\system32\tasks\windows subsystem modules\windows subsystem modules
MD5: b58cc38713ff44dbca08d33605c9a328
威胁等级: 低级威胁
处理状态: 已隔离

NO.11
威胁名称: Infostealer.Win32.Kryptik.Vty7
病毒路径: c:\users\kerberos\pictures\minor policy\_61zc798nq__v9vzr4tbhyn5.exe
MD5: d53e7f8f608af887e7e8ef7ab0c689cc
威胁等级: 低级威胁
处理状态: 已隔离

NO.12
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\scbcogwrnodi2jwcr51p4vxt.exe
MD5: 68f4c084be04c797b44247350b6ce1cf
威胁等级: 中级威胁
处理状态: 已隔离

NO.13
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\programdata\microsoft\auzqja\jip.chk
MD5: 6db172bf5be76ae3a6f12adca558aa08
威胁等级: 高级威胁
处理状态: 已隔离

NO.14
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\fggshqfbkvc2lytfoa29x4vy.exe
MD5: 897fa2487ee74a170abc3303160afc29
威胁等级: 中级威胁
处理状态: 已隔离

NO.15
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\cbuqun4oxq_zupmzlsgimpxy.exe
MD5: 897fa2487ee74a170abc3303160afc29
威胁等级: 中级威胁
处理状态: 已隔离

NO.16
威胁名称: Gen:Variant.Lazy.233996
病毒路径: c:\users\kerberos\appdata\local\pip\cache\http\1\7\a\0\9\17a0954e11e6eeebb77 3cb98da308b5e962efc5611b4f221459082cd
MD5: 489df19b9a135eaa8a662eb8cd5d9926
威胁等级: 低级威胁
处理状态: 已修复

NO.17
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\rxnlmv81toyxzw2yh5wgyep5.exe
MD5: 22fcfd522c1a3ee7f4509821d4b58f5e
威胁等级: 高级威胁
处理状态: 已隔离

查杀结束

记一次windows病毒联合排查全过程的更多相关文章

  1. 记一次线上bug排查-quartz线程调度相关

    记一次线上bug排查,与各位共同探讨. 概述:使用quartz做的定时任务,正式生产环境有个任务延迟了1小时之久才触发.在这一小时里各种排查找不出问题,直到延迟时间结束了,该任务才珊珊触发.原因主要就 ...

  2. 解Bug之路-记一次存储故障的排查过程

    解Bug之路-记一次存储故障的排查过程 高可用真是一丝细节都不得马虎.平时跑的好好的系统,在相应硬件出现故障时就会引发出潜在的Bug.偏偏这些故障在应用层的表现稀奇古怪,很难让人联想到是硬件出了问题, ...

  3. Windows入侵问题排查

    1.深入分析,查找入侵原因 1.1 检查帐户和弱口令 1.查看服务器已有系统或应用帐户是否存在弱口令 检查说明:主要检查系统管理员帐户.网站后台帐户.数据库帐户以及其他应用程序(FTP.Tomcao. ...

  4. 渗透中Meterpreter基本操作和对应的windows上的排查或者现象

    Meterpreter的简单介绍 Meterpreter 是MSF自带一个强大的SHELL,可以执行很多功能. Meterpreter SHELL 基本操作 meterpreter>backgr ...

  5. Watchbog挖矿病毒程序排查过程

    第1章 情况 1)服务器收到cpu报警,cpu被占用达到100%,登录服务器查看,发现cpu被一个watchbog的进程占满了,如下图所示: 2)并且无论如何都杀不掉,用kill杀掉后,其还是会隔一会 ...

  6. 记一次Windows蓝屏分析

    大半夜收到此类信息,应该是让所有系统管理员最头大的事情了 首先我快速通过iDRAC,发现服务器发生了重启操作,并得到相关日志信息 通过Dell的官方解释,确定了该问题是OS层面的异常导致.打开Wind ...

  7. Windows主机入侵排查

    检查系统信息.用户账号信息 系统信息 ● 查看系统版本以及补丁信息 systeminfo 用户账号信息 ● 基本使用 ○ 创建普通账号并加入administrarors 组 net user test ...

  8. 记一次windows下物理迁移数据库的过程

    背景:      最近因为一次设备故障,导致一台运行windows环境下的机器无法启动,里面有一个正在使用的财务数据库,该数据库也只是每月使用一次,需要把物理数据迁移出来,于是拔出了故障机器的硬盘,通 ...

  9. 捉虫记2:windows程序句柄泄露的上下文环境

    作为程序员,开发程序是基本功,而调试程序也是必不可少的技能之一.软件在主体功能开发完成后会经历各个阶段的测试,才会被发布.在测试过程中,出现较多的可能就是内存泄漏,句柄泄漏,异常崩溃等属于非功能型的软 ...

  10. 记一次redis病毒分析笔记

    起因 偶然间发现redis里有一个陌生key:tightsoft,它的值是:*/1 * * * * root curl -fsSL https://pastebin.com/raw/xbY7p5Tb| ...

随机推荐

  1. 「codeforces - 1519E」Off by One

    link. 点 \(A\) 与 \((0,0)\),\(B\) 共线的充要条件是 \(\frac{y_A}{x_A}=\frac{y_B}{x_B}\),即 \(k_{OA}=k_{OB}\).又考虑 ...

  2. Mysql忘记密码后如何重置密码

    长时间不使用本机的Mysql后把密码忘记了咋整?直接上干货: 第一步(Mysql部署的位置,若自己能找到就忽略这一步):任务管理器中也可以找到 第二步:修改配置文件 在my.ini末尾加上 skip- ...

  3. JAVA中三种I/O框架——BIO、NIO、AIO

    一.BIO(Blocking I/O) BIO,同步阻塞IO模型,应用程序发起系统调用后会一直等待数据的请求,直至内核从磁盘获取到数据并拷贝到用户空间: 在一般的场景中,多线程模型下的BIO是成本较低 ...

  4. Oracle CloudWorld 2023:Safra Catz主题演讲——把客户的成功放在首要位置

    Safra Catz在Oracle CloudWorld 2023的开场演讲主题是"把客户的成功放在首要位置".她强调了客户的重要性,并说大家通过合作和技术可以实现几乎一切.她感谢 ...

  5. 其它——windows提示缺少VCRUNTIME140.dll错误

    文章目录 一 原因 二 解决方法一 三 解决方法二 缺少了Microsoft.Net.Framework的安装 一 原因 最新在系统安装一些软件发现提示 这是因为缺少了一下windows运行需要的库 ...

  6. 环境搭建:在VSCode搭建Python环境

      1.安装vscode     2.下载python解释器 安装python https://www.python.org/downloads/windows/ 下载可执行的安装文件:   安装完成 ...

  7. js数据结构--字典

    <!DOCTYPE html> <html> <head> <title></title> </head> <body&g ...

  8. Springboot+Mybatis+Mybatisplus 框架中增加自定义分页插件和sql 占位符修改插件

    一.Springboot简介 springboot 是当下最流行的web 框架,Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程 ...

  9. GIT协作流程规范

    分支模型 集中式的分支模型 目前团队使用的模式属于老旧的集中式分支模型,简单的总结就是: 开发时: 团队的所有成员都在dev分支上开发(也支持少部分的特性分支feature-xxx). 测试时: 当功 ...

  10. RLHF · PBRL | PEBBLE:通过 human preference 学习 reward model

    论文题目:PEBBLE: Feedback-Efficient Interactive Reinforcement Learning via Relabeling Experience and Uns ...