中国比特币交易钱包

腾讯安全发布2019年度挖矿木马报告(全文)

  5.2.1感染确认

  1)个人用户

  a.通过Windows任务管理器(或PCHunter或Process Explorer)或Linux下使用命令ps -aux ,找到高CPU占用的进程及其文件。若文件在系统目录下,在另一台机器上找到同名的正常系统文件与可疑文件进行对比;若在某软件目录下,找到该软件的同名正常文件与可疑文件进行对比。

腾讯安全发布2019年度挖矿木马报告(全文)

  挖矿进程CPU占用

  b.使用PCHunter或Linux下使用命令netstat -tup 查找进程网络连接的IP及端口,特别是5559、7777、4444、13333等可疑远程端口连接。接着使用该IP地址进行域名反查,注意指向该IP的域名中是否包含“miner”,”pool”等字样。

  若在以上a步骤中排除系统文件或正常软件文件,且该文件具有b中的可疑网络连接,则可能感染挖矿木马。

  2)企业用户

  企业用户建议部署腾讯御界高级威胁检测系统,可识别挖矿过程中的通信协议,从网络流量中检测挖矿行为。

腾讯安全发布2019年度挖矿木马报告(全文)

  御界检测挖矿行为

  5.2.2 病毒移除

  确认感染挖矿木马后,可使用腾讯电脑管家清除,也可尝试按照以下步骤进行手动清除:

  1)Windows系统

  使用PCHunter或其他管理工具退出可疑进程,删除进程文件,并在启动项、服务、计划任务中找到启动该文件映像的项目并删除。

腾讯安全发布2019年度挖矿木马报告(全文)

  PCHunter删除挖矿木马启动项

  2)Linux系统

  下通过命令pkill -9退出进程;

  删除进程文件,并检查crontab命令下显示的木马相关定时任务;

  删除以下目录下木马相关定时任务;

  /var/spool/cron/root/

  /var/spool/cron/crontabs

  删除以下目录下木马相关自启动项;

  /etc/rcS.d/

  /etc/rc.d/init.d/

  企业用户可在服务器部署腾讯御点终端安全管理系统,对挖矿木马进行清理。

腾讯安全发布2019年度挖矿木马报告(全文)

  5.2.3 清理僵尸网络

  1)MyKings

腾讯安全发布2019年度挖矿木马报告(全文)

  MyKings僵尸网络清理建议

  排查数据库作业名称,清除包含恶意代码的作业;

  排查数据库存储过程,清理包含恶意代码的内容;

  由于MyKings最新版本还会感染“暗云“MBR、Rookit等顽固病毒,用户可使用电脑管家系统急救箱进行查杀清理,使用指南及下载链接:https://guanjia.qq.com/avast/283/index.html

腾讯安全发布2019年度挖矿木马报告(全文)

  电脑管家系统急救箱清理MBR和内核级病毒

  2)WannaMiner

腾讯安全发布2019年度挖矿木马报告(全文)

此文由 中国比特币交易钱包 编辑,未经允许不得转载!:首页 > 比特币怎么挖 » 腾讯安全发布2019年度挖矿木马报告(全文)

()
分享到:

相关推荐

评论 暂无评论