随着虚拟货币市场的繁荣,挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘,给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒的应急响应和防范措施进行分析和总结。
一、病毒感染现象
挖矿病毒的感染常常表现为服务器资源占用率异常高,CPU被占用接近100%,服务器启动缓慢等现象。此外,挖矿病毒还可能向大量远程IP的特定端口发送请求,通过利用多种漏洞进行感染和传播。
二、应急场景和事件分析
应急场景一:
服务器资源占用率异常高,重启后程序启动缓慢。
1.断网隔离被感染的服务器/主机,防止成为跳板机。
2、检查异常端口、进程
检查端口连接情况,是否有远程连接、可疑连接。
- netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
- 根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | find "PID"
进程
- 任务管理器 Ctrl + Shift + Esc
- 运行命令提示符(cmd)中输入
taskmgr并按下 Enter 键即可打开任务管理器。 - 打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
3.清除挖矿病毒
- 关闭异常进程 taskkill -t -f / pid 结束进程
- 删除挖矿病毒程序
4.检查启动项、计划任务、服务
检查服务器是否有异常的启动项。
- 登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
- 单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
- 利用安全软件查看启动项、开机时间管理等。
检查计划任务
-
单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性
-
单击【开始】>【运行】;输入 cmd,然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。
服务自启动
- 检查方法:单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。
应急场景二:
使用各种杀毒软件无法清除病毒,即使删除异常文件后,每次重启仍会重新生成。
1.检查网络链接
- 通过火绒剑查看网络链接,找到对外发送请求的进程ID。
2.进程分析
- 通过进程ID找到相关联的父进程,找到进程ID的服务项,逐一排查
3.删除服务
- 删除服务 选择可疑服务项,右键属性,停止服务,启动类型:禁止。 停止并禁用服务,再清除相关目录后,重启计算机。
三、防范措施
新型挖矿攻击展现出了蠕虫般的传播特性,结合了高级攻击技术,因此需要采取多层次的防范措施:
-
安装安全软件并升级病毒库:及时安装更新安全软件,保持病毒库的最新状态,定期进行全盘扫描,保持实时防护能力。
-
及时更新系统和应用程序补丁:安装最新的Windows安全补丁,及时修补系统和应用程序的漏洞,以防止挖矿病毒利用已知漏洞进行感染。
-
加强网络安全配置:开启防火墙,合理配置网络安全策略,临时关闭不必要的端口,限制对系统的远程访问,减少攻击面。
-
定期备份重要数据:定期备份重要数据,并将备份数据存储在安全可靠的位置,以防止挖矿病毒对数据造成损坏或丢失。
通过以上应急响应和防范措施,可以有效应对挖矿病毒的攻击,保障个人用户和企业网络的安全。