windows挖礦病毒隱藏進程

A. 什麼是挖礦木馬該如何防範了

了解風險，守護你的數字資產：深入解析挖礦木馬與防範策略

在數字化的時代，我們的電腦系統中隱藏的威脅無處不在。其中，一種狡猾的威脅就是挖礦木馬，它們如同無聲的吸金者，利用我們的計算資源進行加密貨幣挖掘，對用戶資源造成悄然的消耗。今天，我們將一起揭開挖礦木馬的神秘面紗，並學習如何有效防範它們的侵襲。

首先，我們來理解什麼是挖礦木馬。挖礦木馬，顧名思義，是一種惡意軟體，它悄悄地潛伏在你的電腦中，利用你的CPU或者GPU資源進行加密貨幣挖礦，如CryptoNote系的幣。它們通常在用戶不知情的情況下運行，因為它們往往偽裝成合法程序，如游戲、下載工具等，通過偽裝來降低用戶的警惕。

如果你發現自己的電腦在空閑時間，CPU佔用率異常偏高，這可能是挖礦木馬在作祟。但要注意，僅僅依賴CPU佔用率作為判斷依據還不夠，因為有些高級的挖礦木馬會採取更隱蔽的方式運行。因此，定期進行系統掃描和安全軟體檢測是十分必要的。此外，保持操作系統和防病毒軟體的更新，可以增強系統的安全防護能力。

防範挖礦木馬，除了監控資源使用情況，還有以下幾點建議：

• 增強安全意識：不隨便下載不明來源的軟體，尤其是那些聲稱能帶來額外收益的。對於網路上的優惠、獎勵，要保持警惕，避免成為惡意軟體的入口。


• 安裝防病毒軟體：選擇一款可靠的防病毒軟體，定期進行全盤掃描，及時發現並隔離可疑程序。


• 設置強密碼：為所有重要賬戶設置強密碼，並定期更換，以防黑客利用已知漏洞入侵。


• 啟用防火牆：防火牆能阻止未經授權的訪問，為你的設備提供額外保護。

總的來說，挖礦木馬雖然狡猾，但只要我們保持警惕，採取適當的防護措施，就能有效地降低被感染的風險。在數字化生活的道路上，安全始終是我們的首要任務。讓我們攜手守護好自己的數字世界，讓挖礦木馬無處遁形。

B. 挖礦病毒怎麼排查

登錄系統查看任務管理器，查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵，打開文件位置（先要在文件夾選項中選擇顯示隱藏文件及操作系文件）。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件，右鍵編輯打開這個文件查看，可查看到惡意進程與哪個挖礦組織通信。

通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息，一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。

根除病毒：將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行，此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。

如果是Linux系統請參考：網頁鏈接

C. 別被TiWorker.exe騙了，搞不好有人在用你電腦挖礦

發現電腦性能異常後，檢查進程發現名為TiWorker.exe的程序為罪魁禍首。此程序長期大量佔用CPU，任務管理器中無法看到，甚至在開啟五分鍾後會自動關閉。正常系統更新程序不會執行這些異常操作。TiWorker.exe實際上是一個由Ymacco.AAA0類型病毒偽裝而成的程序，它調用Riched32.dll執行未知操作。此外，還存在一個名為Masson.A!rfn類型的病毒，通過獲取系統許可權，在系統目錄中部署Riched32.dll和TiWorker.exe。要解決此問題，需進入Windows PE系統，刪除C:\Windows\SysWOW64\IME\S-1-4-12\文件夾中的所有病毒相關文件。

若僅刪除Ymacco.AAA0類型的病毒，TiWorker.exe會再次出現。解決方法是在Windows PE系統中刪除Windows目錄下的AppleVersions可疑目錄，或在Windows安全中心中移除病毒排除項。掃描病毒並將其刪除後，問題得到解決，但若不採取額外措施，病毒可能會再次出現。建議進入Windows PE系統清除所有可疑文件，確保問題得到徹底解決。

在深入調查過程中，發現TiWorker.exe進程躲閃資源管理器，CPU佔用率異常高，游戲體驗受到影響。通過進程查詢和路徑訪問，確認了TiWorker.exe的執行路徑及與立陶宛VPS的連接，證實了病毒的存在。刪除病毒文件夾後，電腦性能恢復正常。雖然技術手段有限，但發送郵件給VPS運營商，要求採取行動，阻止病毒活動。同時，將病毒文件上傳給微軟，以防止病毒擴散。

面對國外監管缺失的挑戰，阻止此類病毒行為極為困難。重要的是保持警惕，及時檢測和處理電腦中的病毒，以防止其對系統造成進一步損害。通過以上步驟，病毒問題暫時得到解決，但需持續監控，以確保系統安全。

D. 挖礦病毒持續活躍，通過 ssh "強行" 登錄

近期，火絨安全實驗室接收用戶反饋，電腦出現異常運行。經排查，異常原因系挖礦病毒事件造成。該病毒為名為xbash的惡意腳本，屬於Coinminer家族，自去年以來大規模傳播，近期活動頻繁，國內主要以投放的xmrig挖礦病毒變種libgcc_a聞名。此病毒通過SSH口令爆破手段獲取初始訪問許可權，運用多種技術手段，包括預載入劫持、殺軟對抗、流量代理和內網橫向等，進行運行、隱藏和傳播。

病毒起始樣本是一個xbash腳本文件，使用Makeself打包工具，包含一個名為cronman的主引導腳本。其主要行為包括下載payload、持久化、清除痕跡、清除殺軟、內網代理、內網橫向、運行挖礦程序等。具體步驟如下：首先通過run_cmd函數執行安裝xinetd守護進程，用於後續配置代理轉發服務，下載payload。調用clean函數清理殺毒軟體及其它挖礦程序，通過終止進程、停止服務、刪除自保護驅動、調用自帶的卸載腳本等操作，移除安全軟體並終止同類挖礦程序。依據SKIPUPDATE變數值和data文件進行配置更新，通過get_remote_file函數下載文件並寫入計劃任務中實現自啟動。修改/etc/ld.so.preload內容以劫持程序啟動後載入的動態庫實現hook行為，通過下載開源網路探測工具spirit實現內網橫向移動。

病毒還通過檢查iptables、firewalld安裝情況並開放特定埠，修改SSH配置文件實現持久化，並通過下載開源網路探測工具spirit，通過crontab命令創建周期任務來執行ssh爆破，實現內網橫向移動。病毒下載的程序xfitaarch.sh、xfit.sh，為xmrig挖礦程序變種，清除系統日誌和歷史記錄，消除痕跡。

病毒腳本中存在預載入劫持，對相關庫進行逆向分析發現，sshkit.so庫文件會hook掉readdir函數，獲取原始返回結果並過濾掉ssh進程文件，pkit.so隱藏libgcc_a，skit.so隱藏spirit，sshpkit.so隱藏sshpass。readdir函數是c語言libc庫在用戶層提供用於讀取目錄內容的函數，hook readdir函數間接hook了使用getdents64函數的命令，包括常用的ls、ps、top命令等。病毒隱藏的進程spirit.sh是一個開源滲透測試工具，用於linux下內網主機存活探測及橫向移動。另一個隱藏程序libgcc_a是XMrig挖礦程序變種，用於挖礦牟利。

火絨安全產品已支持攔截和查殺此類病毒，請廣大用戶及時更新病毒庫以提高防禦能力。

HASH：

C&C：

E. 電腦被挖礦怎麼辦

電腦被挖礦是一種惡意程序襲擊，礦工程序會利用電腦的計算能力來挖掘加密貨幣，從而盜取計算能力。這種攻擊會消耗大量的計算能力和電力資源，導致電腦運行緩慢，且危害性很大。如果你的電腦被挖礦了，那麼你應該採取以下步驟來解決：

1. 掃描病毒
首先，你需要運行殺毒軟體來掃描病毒。殺毒軟體可以識別和清除礦工程序和其他惡意軟體。如果你沒有安裝殺毒軟體，那麼你需要安裝一個來保護你的電腦。注意，你需要定期更新你的殺毒軟體，以便保持其最新的病毒定義。
2. 查找並停止進程
一旦殺毒軟體檢測到病毒，你需要手動查找並停止相關的進程。進程可以通過任務管理器或其他進程管理工具來查找。一旦找到了礦工程序的進程，你需要停止它，以防止其繼續消耗你的計算能力。
3. 更改密碼
如果你的電腦被攻擊，那麼有可能是因為你的密碼被盜，或者你的電腦安全措施不足。所以，你需要更改你的密碼，並提高你的安全措施，包括解鎖你的防火牆和關閉遠程桌面連接等。
4. 更新軟體
礦工程序和其他惡意軟體通常會利用安全漏洞來攻擊你的電腦。要避免這種情況，你需要定期更新你的軟體和系統。更新可以修復已知的安全漏洞。
5. 備份數據
最後，你需要備份你的數據。備份可以保護你的重要文件和數據免受損壞和丟失。你可以將數據備份到雲存儲或外部存儲器中。
總結
電腦被挖礦是一種常見的惡意程序攻擊，它會危及你的計算能力和電力資源。如果你的電腦被攻擊，你需要運行殺毒軟體來掃描病毒，並找到並停止相關的進程。你還需要更改你的密碼，更新你的軟體和系統，並備份你的數據。以上這些步驟可以幫助你解決電腦被挖礦的問題，以幫助你保護你的電腦和數據。

F. 360衛士能阻止挖礦病毒嗎

為全面防禦各類挖礦木馬，360安全衛士緊急推出「挖礦木馬防護」，開啟該功能後，計算機將自動檢測及攔截挖礦惡意代碼，為用戶直接屏蔽網頁挖礦腳本，攔截並預警各類挖礦程序的運行，確保用戶CPU資源不被侵佔，擁有流暢的上網體驗。
電腦忽然變卡發熱? 當心成為挖礦「肉雞」
挖礦木馬隱藏在幾乎所有安全性脆弱的角落，一旦中招，電腦將變為黑客的挖礦苦力，出現卡慢發熱、CPU及內存被大量佔用等情況，嚴重影響正常使用。
在暴利驅動下，挖礦木馬還不斷使用新花招，企圖掩蓋罪行並擴大傳播量。比如，有些挖礦木馬會根據中招者實時使用情況進行調節，以保障不會很快被計算機檢測出;有些會在用戶關閉瀏覽器窗口後，隱藏在任務欄右下角繼續潛伏挖礦。
搭載「核武器」的木馬
更有甚者，挖礦木馬也搭上了核彈級黑客武器。360安全衛士不久前曾截獲一款利用「永恆之藍」傳播的門羅幣挖礦木馬，由於搭載了重磅攻擊彈葯，該木馬傳播量龐大，高峰時期360每天為用戶攔截到的攻擊就達10萬次。
2017年是挖礦木馬爆發的一年，而2018年可能是挖礦木馬從隱匿的角落走向大眾視野的一年。在巨大利益的催生下，木馬挖礦攻擊頻次逐步提高，黑色產業鏈日漸成型，用戶所面臨的計算機安全環境將更加復雜。
全自動檢測攔截 360「挖礦木馬防護」徹底免疫挖礦攻擊
針對挖礦木馬肆虐現狀，360安全衛士率先推出「挖礦木馬防護」功能，用戶只要開啟該功能，就能全面防禦從各種渠道入侵的挖礦攻擊。
1 瀏覽網頁時，會像屏蔽廣告一樣，自動為用戶屏蔽挖礦腳本;
2 下載及使用軟體程序時，會實時攔截各類挖礦代碼的運行並彈窗預警，確保用戶CPU資源不被消耗佔用，保障用戶正常的上網體驗。
繼「網購先賠」、「反勒索服務」之後，「挖礦木馬防護」是360安全衛士針對電腦端高發惡意攻擊，從用戶場景出發打造的又一重磅服務。
勒索病毒WannaCry爆發時，正常使用360的用戶無一例中招，而360更成為國內外唯一一款承諾「防不住代替用戶賠贖金」的安全產品。
如今，挖礦木馬將成為繼勒索病毒後，黑客牟利的又一重磅武器。360在對抗挖礦木馬領域，不僅一直持續追蹤並率先監測攔截多起大規模挖礦事件，更成為國內首個提供挖礦木馬防護的安全軟體。
在對抗高發木馬，360安全衛士始終為5億用戶提供最為強大的後盾，全面保障用戶正常的上網體驗。