windows挖矿病毒隐藏进程

A. 什么是挖矿木马该如何防范了

了解风险，守护你的数字资产：深入解析挖矿木马与防范策略

在数字化的时代，我们的电脑系统中隐藏的威胁无处不在。其中，一种狡猾的威胁就是挖矿木马，它们如同无声的吸金者，利用我们的计算资源进行加密货币挖掘，对用户资源造成悄然的消耗。今天，我们将一起揭开挖矿木马的神秘面纱，并学习如何有效防范它们的侵袭。

首先，我们来理解什么是挖矿木马。挖矿木马，顾名思义，是一种恶意软件，它悄悄地潜伏在你的电脑中，利用你的CPU或者GPU资源进行加密货币挖矿，如CryptoNote系的币。它们通常在用户不知情的情况下运行，因为它们往往伪装成合法程序，如游戏、下载工具等，通过伪装来降低用户的警惕。

如果你发现自己的电脑在空闲时间，CPU占用率异常偏高，这可能是挖矿木马在作祟。但要注意，仅仅依赖CPU占用率作为判断依据还不够，因为有些高级的挖矿木马会采取更隐蔽的方式运行。因此，定期进行系统扫描和安全软件检测是十分必要的。此外，保持操作系统和防病毒软件的更新，可以增强系统的安全防护能力。

防范挖矿木马，除了监控资源使用情况，还有以下几点建议：

• 增强安全意识：不随便下载不明来源的软件，尤其是那些声称能带来额外收益的。对于网络上的优惠、奖励，要保持警惕，避免成为恶意软件的入口。


• 安装防病毒软件：选择一款可靠的防病毒软件，定期进行全盘扫描，及时发现并隔离可疑程序。


• 设置强密码：为所有重要账户设置强密码，并定期更换，以防黑客利用已知漏洞入侵。


• 启用防火墙：防火墙能阻止未经授权的访问，为你的设备提供额外保护。

总的来说，挖矿木马虽然狡猾，但只要我们保持警惕，采取适当的防护措施，就能有效地降低被感染的风险。在数字化生活的道路上，安全始终是我们的首要任务。让我们携手守护好自己的数字世界，让挖矿木马无处遁形。

B. 挖矿病毒怎么排查

登录系统查看任务管理器，查看占用内存较大且无法关闭的进程。进程上点击鼠标右键，打开文件位置（先要在文件夹选项中选择显示隐藏文件及操作系文件）。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程这里还可以看到一个2.bat文件，右键编辑打开这个文件查看，可查看到恶意进程与哪个挖矿组织通信。

通过查看系统操作日志可分析出病毒的来源、启动时间等信息，一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。

根除病毒：将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行，此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_整个目录。

如果是Linux系统请参考：网页链接

C. 别被TiWorker.exe骗了，搞不好有人在用你电脑挖矿

发现电脑性能异常后，检查进程发现名为TiWorker.exe的程序为罪魁祸首。此程序长期大量占用CPU，任务管理器中无法看到，甚至在开启五分钟后会自动关闭。正常系统更新程序不会执行这些异常操作。TiWorker.exe实际上是一个由Ymacco.AAA0类型病毒伪装而成的程序，它调用Riched32.dll执行未知操作。此外，还存在一个名为Masson.A!rfn类型的病毒，通过获取系统权限，在系统目录中部署Riched32.dll和TiWorker.exe。要解决此问题，需进入Windows PE系统，删除C:\Windows\SysWOW64\IME\S-1-4-12\文件夹中的所有病毒相关文件。

若仅删除Ymacco.AAA0类型的病毒，TiWorker.exe会再次出现。解决方法是在Windows PE系统中删除Windows目录下的AppleVersions可疑目录，或在Windows安全中心中移除病毒排除项。扫描病毒并将其删除后，问题得到解决，但若不采取额外措施，病毒可能会再次出现。建议进入Windows PE系统清除所有可疑文件，确保问题得到彻底解决。

在深入调查过程中，发现TiWorker.exe进程躲闪资源管理器，CPU占用率异常高，游戏体验受到影响。通过进程查询和路径访问，确认了TiWorker.exe的执行路径及与立陶宛VPS的连接，证实了病毒的存在。删除病毒文件夹后，电脑性能恢复正常。虽然技术手段有限，但发送邮件给VPS运营商，要求采取行动，阻止病毒活动。同时，将病毒文件上传给微软，以防止病毒扩散。

面对国外监管缺失的挑战，阻止此类病毒行为极为困难。重要的是保持警惕，及时检测和处理电脑中的病毒，以防止其对系统造成进一步损害。通过以上步骤，病毒问题暂时得到解决，但需持续监控，以确保系统安全。

D. 挖矿病毒持续活跃，通过 ssh "强行" 登录

近期，火绒安全实验室接收用户反馈，电脑出现异常运行。经排查，异常原因系挖矿病毒事件造成。该病毒为名为xbash的恶意脚本，属于Coinminer家族，自去年以来大规模传播，近期活动频繁，国内主要以投放的xmrig挖矿病毒变种libgcc_a闻名。此病毒通过SSH口令爆破手段获取初始访问权限，运用多种技术手段，包括预加载劫持、杀软对抗、流量代理和内网横向等，进行运行、隐藏和传播。

病毒起始样本是一个xbash脚本文件，使用Makeself打包工具，包含一个名为cronman的主引导脚本。其主要行为包括下载payload、持久化、清除痕迹、清除杀软、内网代理、内网横向、运行挖矿程序等。具体步骤如下：首先通过run_cmd函数执行安装xinetd守护进程，用于后续配置代理转发服务，下载payload。调用clean函数清理杀毒软件及其它挖矿程序，通过终止进程、停止服务、删除自保护驱动、调用自带的卸载脚本等操作，移除安全软件并终止同类挖矿程序。依据SKIPUPDATE变量值和data文件进行配置更新，通过get_remote_file函数下载文件并写入计划任务中实现自启动。修改/etc/ld.so.preload内容以劫持程序启动后加载的动态库实现hook行为，通过下载开源网络探测工具spirit实现内网横向移动。

病毒还通过检查iptables、firewalld安装情况并开放特定端口，修改SSH配置文件实现持久化，并通过下载开源网络探测工具spirit，通过crontab命令创建周期任务来执行ssh爆破，实现内网横向移动。病毒下载的程序xfitaarch.sh、xfit.sh，为xmrig挖矿程序变种，清除系统日志和历史记录，消除痕迹。

病毒脚本中存在预加载劫持，对相关库进行逆向分析发现，sshkit.so库文件会hook掉readdir函数，获取原始返回结果并过滤掉ssh进程文件，pkit.so隐藏libgcc_a，skit.so隐藏spirit，sshpkit.so隐藏sshpass。readdir函数是c语言libc库在用户层提供用于读取目录内容的函数，hook readdir函数间接hook了使用getdents64函数的命令，包括常用的ls、ps、top命令等。病毒隐藏的进程spirit.sh是一个开源渗透测试工具，用于linux下内网主机存活探测及横向移动。另一个隐藏程序libgcc_a是XMrig挖矿程序变种，用于挖矿牟利。

火绒安全产品已支持拦截和查杀此类病毒，请广大用户及时更新病毒库以提高防御能力。

HASH：

C&C：

E. 电脑被挖矿怎么办

电脑被挖矿是一种恶意程序袭击，矿工程序会利用电脑的计算能力来挖掘加密货币，从而盗取计算能力。这种攻击会消耗大量的计算能力和电力资源，导致电脑运行缓慢，且危害性很大。如果你的电脑被挖矿了，那么你应该采取以下步骤来解决：

1. 扫描病毒
首先，你需要运行杀毒软件来扫描病毒。杀毒软件可以识别和清除矿工程序和其他恶意软件。如果你没有安装杀毒软件，那么你需要安装一个来保护你的电脑。注意，你需要定期更新你的杀毒软件，以便保持其最新的病毒定义。
2. 查找并停止进程
一旦杀毒软件检测到病毒，你需要手动查找并停止相关的进程。进程可以通过任务管理器或其他进程管理工具来查找。一旦找到了矿工程序的进程，你需要停止它，以防止其继续消耗你的计算能力。
3. 更改密码
如果你的电脑被攻击，那么有可能是因为你的密码被盗，或者你的电脑安全措施不足。所以，你需要更改你的密码，并提高你的安全措施，包括解锁你的防火墙和关闭远程桌面连接等。
4. 更新软件
矿工程序和其他恶意软件通常会利用安全漏洞来攻击你的电脑。要避免这种情况，你需要定期更新你的软件和系统。更新可以修复已知的安全漏洞。
5. 备份数据
最后，你需要备份你的数据。备份可以保护你的重要文件和数据免受损坏和丢失。你可以将数据备份到云存储或外部存储器中。
总结
电脑被挖矿是一种常见的恶意程序攻击，它会危及你的计算能力和电力资源。如果你的电脑被攻击，你需要运行杀毒软件来扫描病毒，并找到并停止相关的进程。你还需要更改你的密码，更新你的软件和系统，并备份你的数据。以上这些步骤可以帮助你解决电脑被挖矿的问题，以帮助你保护你的电脑和数据。

F. 360卫士能阻止挖矿病毒吗

为全面防御各类挖矿木马，360安全卫士紧急推出“挖矿木马防护”，开启该功能后，计算机将自动检测及拦截挖矿恶意代码，为用户直接屏蔽网页挖矿脚本，拦截并预警各类挖矿程序的运行，确保用户CPU资源不被侵占，拥有流畅的上网体验。
电脑忽然变卡发热? 当心成为挖矿“肉鸡”
挖矿木马隐藏在几乎所有安全性脆弱的角落，一旦中招，电脑将变为黑客的挖矿苦力，出现卡慢发热、CPU及内存被大量占用等情况，严重影响正常使用。
在暴利驱动下，挖矿木马还不断使用新花招，企图掩盖罪行并扩大传播量。比如，有些挖矿木马会根据中招者实时使用情况进行调节，以保障不会很快被计算机检测出;有些会在用户关闭浏览器窗口后，隐藏在任务栏右下角继续潜伏挖矿。
搭载“核武器”的木马
更有甚者，挖矿木马也搭上了核弹级黑客武器。360安全卫士不久前曾截获一款利用“永恒之蓝”传播的门罗币挖矿木马，由于搭载了重磅攻击弹药，该木马传播量庞大，高峰时期360每天为用户拦截到的攻击就达10万次。
2017年是挖矿木马爆发的一年，而2018年可能是挖矿木马从隐匿的角落走向大众视野的一年。在巨大利益的催生下，木马挖矿攻击频次逐步提高，黑色产业链日渐成型，用户所面临的计算机安全环境将更加复杂。
全自动检测拦截 360“挖矿木马防护”彻底免疫挖矿攻击
针对挖矿木马肆虐现状，360安全卫士率先推出“挖矿木马防护”功能，用户只要开启该功能，就能全面防御从各种渠道入侵的挖矿攻击。
1 浏览网页时，会像屏蔽广告一样，自动为用户屏蔽挖矿脚本;
2 下载及使用软件程序时，会实时拦截各类挖矿代码的运行并弹窗预警，确保用户CPU资源不被消耗占用，保障用户正常的上网体验。
继“网购先赔”、“反勒索服务”之后，“挖矿木马防护”是360安全卫士针对电脑端高发恶意攻击，从用户场景出发打造的又一重磅服务。
勒索病毒WannaCry爆发时，正常使用360的用户无一例中招，而360更成为国内外唯一一款承诺“防不住代替用户赔赎金”的安全产品。
如今，挖矿木马将成为继勒索病毒后，黑客牟利的又一重磅武器。360在对抗挖矿木马领域，不仅一直持续追踪并率先监测拦截多起大规模挖矿事件，更成为国内首个提供挖矿木马防护的安全软件。
在对抗高发木马，360安全卫士始终为5亿用户提供最为强大的后盾，全面保障用户正常的上网体验。