挖矿木马检测报告单病毒名定义:DigaTrojan2标本HASH:7a30ede3ee404d44a6c6cfb9ef2e08f8检测时间:2018年7月4日 12:10分检测方: CANTHINK反病毒实验室 联合 链安必信安全实验 检测环境:windows 7检测工具:winhex Wireshark OD摘要:随首科技持水平与区块链技术的发展,产生很多所为有价格的分布式数字资产同时也让一些不法分子进行远程通过隐藏在电脑里进行“挖矿”木马病毒行为:通过进程查看CPU使用率,到98% 木马病毒为用GO语言进行写,
入口文件做了免杀处理,
木马病毒行为:通过进程查看CPU使用率,到98% 木马病毒为用GO语言进行写,
功能库,boltdb_bolt,garyburd_redigo,golang_protobuf_proto,hashicorp_yamux 分别具有启动后台守护进程,监控进程和系统信息(Cpu和内存,网络,机器码,Mac地址等),实现redis客户端操作key/value数据库操作,开启RPC服务远程调用,单TCP多路复用等功能
调用ddg_aaredis__Server_genLanAddress接口获取局域网地址进行内网传播,
清理方案:
A:删除木马和未知公钥文件。(如/tmp/ddg/tmp/AnXq,/tmp/AnXqV)
B:终止木马进程
通过对此次木马扩散事件的分析和处理,为减少和杜绝此类事件的再次发生,提高安全预警能力,在此提醒用户加强关注日常高带宽高资源电脑主机的运维安全细节:
1、对各类访问认证进行严格的授权
2、定期排查和实时抽查电脑状态,异常流量及cpu消耗需及时上报分析并与专业安全团队合作协查
3、关注敏感安全事件,及时修复高危漏洞 |
雷达卡
发表于 2018-7-7 10:59
提升卡
置顶卡
沉默卡
变色卡
照妖镜