手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac

原创
2018/05/03 17:34
阅读数 3.5W

手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac

起因:

      最近服务器群里的两台Windows虚拟服务器上的CPU占用率超级高(已经达到了91%),严重影响公司程序的正常运行,但是又不能安装杀毒软件(一安装杀软系统就崩溃,(T_T)我也很崩溃啊~),所以只能手动查杀。

一次检查过程:

      在“任务管理器”里找出了“CPU列”后发现有一个进程(SteamClient.exe,不知道的还以为我在服务器上吃鸡呢,可惜服务器上没有显卡2333),这个进程很诡异的占用了CPU 90%,直接右键“打开文件所在位置”后进入了路径为 C:\Program Data  这个文件夹(注意!这不是系统的ProgramData隐藏文件夹,两个单词之间多了一个空格,并且文件夹并不是隐藏的),文件夹里有两个文件,一个是mainer.zip,一个是SteamClient.exe,把这两个文件拷贝出来到个人电脑上后查杀,两个文件都报风险项HackTool/CoinMiner.a  (那个 SteamClient.exe 其实就是 mainer.zip 解压出来的)。

一次查杀过程:

      既然找到了病毒,现在就是在“任务管理器”里结束 SteamClient.exe 进程,然后删除 C:\Program Data (再次注意!这个不是系统的那个文件夹,不要删除错了!)这个文件夹。瞬间服务器CPU就降下来了,清爽多了。

一次结果:

      到第二天又发现那两台服务器的 CPU 又飙升到了 90%上下, 证明刚才删除的文件只是运行文件,这次攻击还有中间手段在运行,方便挖矿病毒能够在被删除以后还能自动生成,然后运行。结论是除了上面检查出来的文件夹还有其他恶意程序在运行。

二次检查过程:

      这次检查借助了一下检查工具(Trojan Killer:免安装版,本来是查杀一体,但是杀毒需要付费,所以我就只用来检测了。注意!会占用服务器的IO读写性能,所以请在服务器空闲时使用!),经过长时间的全文件检测以后,报出了 C:\Windows\HhSm\taskmrg.exe 是 Trojan/Miner.ac 的风险项,该文件伪装成类似任务管理器的名称来欺骗手工清除,找到 HhSm 文件夹以后发现里面有4个文件:一是 debug.txt (该文件是 taskmrg.exe 运行的信息输出记录,揣测是方便开发者查看可执行文件运行情况的) ,二是 parameters.ini (该文件是 taskmrg.exe 运行时的参数设置,SteamClient这个名称就是在这个文件里配置的),三是 restart.bat (该文件是重启 AdobeFlashPlayerHash 的批处理文件),四是 taskmrg.exe (这是正主!)。

二次查杀过程:

      这次就直接删除 HhSm 这个文件夹了,因为 taskmrg.exe 不是常驻进程,所以没有占用,可以直接删除。

二次结果:

      这次删除后还有待观察是否还有其他伪装文件存在,但是暂时解决了这个问题。

 

展开阅读全文
打赏
0
0 收藏
分享
加载中
不知道大佬还在不在 我现在电脑上也出现这个 电脑卡顿非常严重 重启就好了 但是用电脑管家找不到这个程序 手动查找也找不到这个文件夹 不知道该怎么办了
2020/03/25 14:25
回复
举报
不好意思,最近没怎么登录OSC,如果是个人电脑,那就装杀软检测,实在不行就备份数据然后重装系统。如果是服务器,那就只能慢慢分析“任务管理器”里面的进程,一个个排除,右键进程都应该会有“打开文件所在位置”和“属性”,用里面的详细信息去慢慢分析是不是恶意软件。然后把分析出来的所有文件都拷贝到一个文件夹打包,然后根据这些文件去分析“注册表”,大部分恶意软件都会修改注册表,就去分析以后清除相关注册表。说到底需要一些对操作系统的知识。如果不是很熟悉。那就走备份数据重做系统的路吧。
2020/04/11 11:54
回复
举报
更多评论
打赏
2 评论
0 收藏
0
分享
返回顶部
顶部