此次复现挖矿清除不溯源,只是简单的记一下
一、事件背景
近期接到客户反馈,其网络中有部分 Windows 系统终端机器异常,CPU经常飙到100%,电脑使用卡顿。
二、事件处理
2.1 进程定位
查看性能,发现CPU都是100%
检查受害终端,发现进程 Update64.exe 占用CPU极高,为99%
选中Update64.exe进程,右键属性查看,该进程位于 C:\ProgramData\Google 目录下。
进入C盘,查看未发现此目录,是因为此目录被隐藏了
显示隐藏文件方法:组织->文件夹和搜索选项
选中显示隐藏的文件、文件夹和驱动器
之后进入C:\ProgramData\Google 目录,发现病毒的位置
2.12 清除异常程序
选中Update64.exe 右键 结束进程
结束进程之后,再删除C:\ProgramData\Google 目录的异常程序
三、样本
样本放在了 知识星球 与 我的资源 中
只需要点击样本运行即可,切记,实验请在虚拟机进行
更多web安全工具与存在漏洞的网站搭建源码,收集整理在知识星球。