记一次挖矿病毒应急响应事件

应急主机排查

近日，我们的安全技术人员安全检查过程中发现一组内网主机存在与外部互联网地址异常通讯行为，以下是对其中一台主机挖矿应急处置分析。

查看Windows任务管理器，发现该主机的CPU使用率为100%。结合实际业务情况初步判断该主机存在异常。

进一步查看使用率过高的进程，发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率，并且powershell.exe进程被大量调用。

使用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析，可以看到该文件所在执行位置的绝对路径，并且存在与外部互联网地址建立连接。

发现恶意程序与外部互联网建立连接的IP地址，使用通过微步在线溯源IP信息。

及时切断网络连接，进行网络隔离。

使用Autoruns工具检查该主机开机自动加载的所有程序，发现可疑任务。

打开“任务计划程序”，发现存在恶意定时任务。

定时任务：系统每间隔1小时执行一次恶意文件。

根据定时任务发现恶意文件绝对路径。以TXT格式打开l61xHyVQ恶意文件，

发现存在域名t.tr2q.com，使用微步在线搜索分析可知其为恶意网址。

挖矿病毒查杀

安装安全软件火绒后，对挖矿木马程序进行扫描查杀。

修复方法

1.清除机器中的文件病毒，可以用杀毒软件进行全盘扫描，主要清除文件病毒。部分病毒文件需要手动清除，清空C:\Windows\Temp下的临时文件以及回收站里的文件。

2.清除恶意定时任务，在管理工具 --> 计划任务程序 --> 计划任务程序库中删除可疑计划任务。

3.清除powershell和cmd的开机启动程序。