比特幣是個網路貨幣,最近很熱門,透過電腦運算得到比特幣的過程叫「挖礦」。這麼賺錢的事物,黑暗之力也想參一腳,於是就發明了一種病毒會入侵你的電腦幫別人挖礦,就叫「挖礦病毒」。為什麼會有這一篇,因為我也中了XD。
▼名稱CoinMiner,很直白的名稱,就叫挖金幣。
▲這就是執行程式…QQ
之前幾個月,就突然感覺電腦變好慢,開個autocad變格放,放影片會頓,連在桌面點個右鍵都變幻燈片,怎麼可能!?因為有更新過顯卡驅動(科技人定時追新真是壞習慣),以為是這個問題,於是重裝了舊的驅動,再移除冗員程式,大掃除一遍後還是相同,當時千想萬思就是沒想到中毒。
數月之後(我居然能忍受好幾個月…),某天工作上需求安裝teamviewer,安裝過程不小心點了裡面的推薦防毒(陷阱真多),因找不到安裝取消鍵索性讓他跑完想說事後再移除就好,沒想到就跳出找到病毒!就是「lsmosee.exe」,經查就是挖礦病毒,難怪之前電腦會變慢動作,原來是私下接了外務~~~,看網路新聞報導挖礦病毒時還恥笑就是喜歡亂逛才中毒哦,沒想到自己也中了(不過這台是家人共用機,我的專機沒事,到底是誰!?)。可惡,怒裝小紅傘全機掃描,果然又掃出一堆。但我覺得很奇怪的是,之前推薦防毒不是掃出來清掉了,怎麼小紅傘又找到了,當時不做他想。
於是某天打著手X,突然跳出連線下載的檔案掃到毒的通知,?,我在打X遊耶(有被騙到嗎XD),難道有第三隻手動電腦?肩膀上沒感覺重重啊?(還回頭瞄了幾眼)
▲自動上網連線下載病毒,1230.rar (好歹也取霸氣點名稱)
一氣之下XX彈出來……這個連結
https://www.ptt.cc/bbs/AntiVirus/M.1495815058.A.883.html
解毒法:
1.下載微軟 Autoruns https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
把WMI的 fuckyoumm2_consumer 腳本刪掉 (名稱可能不同,注意紅底標示的非系統項目) 再把工作排程 Mysa 刪掉 (名稱可能不同就檢查執行內容) 順便檢查啟動項目有沒有怪東西
2.下載微軟 Process Explorer https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
檢查程序中有沒有 rundll32.exe 掛載 item.dat 把他kill掉檢查 c:\windows\debug\ 刪除 item.dat
3. 收工
不過我比較推薦這個連結,裡面有整個病毒的運作過程與解毒方法。
https://goo.gl/e2YYri
簡言之,該病毒把「定時自動連線下載」的程式碼植入WMI資料庫,而WMI是系統監控電腦資源的官方程式開機會自動執行寫入資料庫的腳本,以合法掩蓋非法(政治手法你也懂!),因為只是單純的連線下載腳本,所以病毒軟體查不到,只能查到下載的病毒檔,才會一直刪了又重生。然後這腳本叫「fuckyoumm2_consumer」。
▲直翻叫「幹你媽的消費者」……合理推測駭客本業是客服人員
點右鍵刪除,收工,希望不要再突然跳出通知…
繼續打手X……
更新@1/7
又跳通知了,得再殺一次。
▲同樣的病毒,這次多了Mysa工作排程
這次參考https://goo.gl/e2YYri,有完整的病毒執行腳本。
腳本會連線到這網站
[http://wmi.mykings.top:8888/test.html]網頁的內容是這樣,意思是下載1230.rar複製到help文件裡改名為lsmosee.exe。副檔名rar其實是假的,實際上是執行檔,我有下載來試過不能解壓。
[http://198.148.80.194:8888/1230.rar c:\windows\help\lsmosee.exe 1]
沒有留言:
張貼留言
交流溝通或良好建議 ,通通歡迎。