windows挖礦病毒補丁
『壹』 伺服器上如何清除NrsMiner挖礦病毒
挖礦病毒完整清除過程如下,請在斷網情況下進行:
1.停止並禁用Hyper-VAccess Protection Agent Service服務;
2.刪除C:Windowssystem32NrsDataCache.tlb;
3.刪除C:.dll,若刪除失敗,可重命名該文件為其他名稱;
4.重啟計算機;
5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄;
6.刪除C:Windowssystem32SecUpdateHost.exe。
7.到微軟官方網站下載對應操作系統補丁,下載鏈接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
8.安裝國內主流殺毒軟體,及時更新至最新病毒特徵庫。
『貳』 電腦出現chromme.exe,刪完還會出
對於該病毒的手工清理方式,主要為:
系統服務里找到KuaizipUpdate這一項,然後刪掉它
C:WindowsTemp目錄下刪除retboolDriver.sys和svchost.exe
C:ProgramData下,刪除除文件夾外的所有文件
刪除C:ProgramDatastorage目錄
刪除C:ProgramDataResources目錄
刪除C:ProgramDatadll目錄
安裝修復MS17-010補丁
詳細的病毒報告可以看這里:「匿影」挖礦病毒:藉助公共網盤和圖床隱匿自身
『叄』 win7小馬激活工具腳本
win7小馬激活工具腳本(win7激活工具 小馬)一、Windows Loader捕獲到一個偽裝成激活軟體WindowsLoader的病毒樣本。經分析,該樣本並沒有激活功能,其主要功能是安裝廣告軟體以及挖礦程序。
挖礦程序會拉起系統進程並在其中注入挖礦代碼,並循環監控taskmgr.exe進程,如果檢測到 taskmgr.exe進程則終止挖礦,使得受害者比較難以察覺。
1 病毒母體 病毒母體圖標偽裝成Windows Loader:
其實是用CreateInstall製作的安裝包:
安裝界面:
釋放如下幾個文件到C:\Program Files (x86)\KMSPico 10.2.1 Final目錄並運行腳本 WINLOADER_SETUP.BAT。
WINLOADER_SETUP.BAT依次運行WindowsLoader.exe、Registry_Activation_2751393056.exe和 activation.exe。
WindowsLoader.exe與Registry_Activation_2751393056.exe都是廣告軟體,activation.exe則是挖礦程序。
2 WindowsLoader.exe
首先是WindowsLoader.exe安裝界面:
會下載並安裝RunBooster:
安裝RunBooster服務:
RunBoosterUpdateTask升級任務計劃:
RunBooster的抓包行為:
3 Registry_Activation_2751393056.exe
Registry_Activation_2751393056.exe安裝界面:
功能存在問題,下載的exe文件沒有帶後綴名:
4 activation.exe 首先在Local目錄下新建cypjMERAky文件夾並將自己拷貝到下面。
添加註冊表自啟動項。
檢測是否存在taskmgr.exe進程。
如果taskmgr.exe進程不存在則拉起系統進程wuapp.exe,參數為" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 [email protected] -p x -t 2"。
將挖礦程序注入到wuapp.exe進程。
挖礦程序為開源的cpuminer-multi 1.2-dev。
電腦
進入循環,守護注冊表自啟動項,並檢測taskmgr.exe進程,如果檢測到則終止wuapp.exe。
二、小馬激活
"小馬激活"病毒的第一變種只是單純地在瀏覽器快捷方式後面添加網址參數和修改瀏覽器首頁的注冊表項,以達到首頁劫持的目的。由於安全軟體的查殺和首頁保護功能,該版本並沒有長時間流行太長時間。其第二變種,在原有基礎上增強了與安全軟體的對抗能力。
由於其作為"系統激活工具"具有入場時間較早的優勢,使用驅動與安全軟體進行主動對抗,使安全軟體無法正常運行。在其第三個變種中,其加入了文件保護和注冊表保護,不但增加了病毒受害者自救的難度,還使得反病毒工程師在處理用戶現場時無法在短時間之內發現病毒文件和病毒相關的注冊表項。其第四個變種中,利用WMI中的永久事件消費者(ActiveScriptEventConsumer)注冊惡意腳本,利用定時器觸發事件每隔一段時間就會執行一段VBS腳本,該腳本執行之後會在瀏覽器快捷方式後面添加網址參數。該變種在感染計算機後,不會在計算機中產生任何文件,使得病毒分析人員很難發現病毒行為的來源,大大增加了病毒的查殺難度。通過如下表格我們可以更直觀的了解其發展過程:
電腦
通過我們近期接到的用戶反饋,我們發現了"小馬激活"病毒的新變種。該變種所運用的對抗技術十分復雜,進一步增加了安全軟體對其有效處理的難度,甚至使得病毒分析人員通過遠程協助處理用戶現場變得更困難。這個"小馬激活"病毒的最新變種運行界面如下:
2 樣本分析
該病毒釋放的驅動文件通過VMProtect加殼,並通過過濾驅動的方式攔截文件系統操作(圖2),其目的是保護其釋放的動態庫文件無法被刪除。通過文件系統過濾驅動,使得系統中的其他進程在打開該驅動文件句柄時獲得的是tcpip.sys文件的句柄,如果強行刪除該驅動文件則會變為刪除tcpip.sys文件,造成系統無法正常連接網路。我們通過下圖可以看到火絨劍在查看文件信息時,讀取的其實是tcpip.sys文件的文件信息。由於此功能,使得病毒分析人員無法在系統中正常獲取該驅動的樣本。
該驅動通過注冊關機回調在系統關機時該驅動會將自身在%SystemRoot%\System32\Drivers目錄重新拷貝成隨機名字的新驅動文件,並將驅動信息寫入注冊表,以便於下一次時啟動載入。在驅動載入之
後,其會將locc.dll注入到explorer.exe進程中。該驅動對locc.dll文件也進行了保護,當試圖修改或者刪除該動態庫時,會彈出錯誤提示"文件過大"。
當病毒的驅動將locc.dll注入到explorer.exe進程後會執行首頁劫持相關邏輯。通過火絨劍的內存轉儲,我們可以看到該病毒鎖定的所有網址。
l l l l l l l l l l l l l l l l l
通過抓取上述網址中的網頁信息,我們可以發現上述網址中存放的其實是一個跳轉頁。通過使用跳轉頁面,病毒作者可以靈活調整計費鏈接和推廣網址,並且對來自不同瀏覽器的流量進行分類統計。
三、解決方案
(1) 不從不明網站下載軟體,不要點擊來源不明的郵件以及附件;
(2) 及時給電腦打補丁,修復漏洞;
(3) 盡量關閉不必要的文件共享許可權以及關閉不必要的埠,如:445,135,139,3389等;
(4) 安裝專業的終端/伺服器安全防護軟體,深信服EDR能夠有效查殺該病毒。
探討滲透測試及黑客技術,請關注並私信我。#小白入行網路安全# #安界網人才培養計劃#
『肆』 比特幣病毒是什麼來的
根據網路安全機構通報,這是不法分子利用NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。「永恆之藍」會掃描開放445文件共享埠的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠程式控制制木馬、虛擬貨幣挖礦機等惡意程序。
1、為計算機安裝最新的安全補丁,微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞,請盡快安裝此安全補丁;對於windows
XP、2003等微軟已不再提供安全更新的機器,可使用360「NSA武器庫免疫工具」檢測系統是否存在漏洞,並關閉受到漏洞影響的埠,可以避免遭到勒索軟體等病毒的侵害。
2、關閉445、135、137、138、139埠,關閉網路共享。
3、強化網路安全意識:不明鏈接不要點擊,不明文件不要下載,不明郵件不要打開……
4、盡快(今後定期)備份自己電腦中的重要文件資料到移動硬碟、U盤,備份完後離線保存該磁碟。
5、建議仍在使用windows xp, windows 2003操作系統的用戶盡快升級到 window 7/windows 10,或
windows 2008/2012/2016操作系統。
『伍』 為什麼防範勒索病毒要關閉不必要的埠
勒索病毒利用Windows操作系統445埠存在的漏洞進行傳播,並具有自我復制、主動傳播的特性。
畢竟開放的互聯網,只要你455共享埠開著,不需要你有任何操作,只要開機上網,他就能在電腦和伺服器中植入勒索軟體、遠程式控制制木馬、虛擬貨幣挖礦機等惡意程序。
防範於未然吧,該下載微軟的補丁還是要下載的,不想下載的,就用這個自動關閉455的小程序,先關閉受到漏洞影響的埠。