风险相关信息 当前运行环境不符合时(如:检测到杀毒软件等),程序会主动退出达到规避检测的目的。恶意行为可能没有完全触发
恶意程序通过创建系统服务,以达到长期控制或驻留系统的目的
恶意程序通过启动恶意服务,以达到通过服务方式执行恶意代码的目的
恶意程序通过打开服务控制管理器(Service Control Manager),以达到对服务进行控制的目的
恶意程序通过获取用户网卡信息的方式,以达到获取敏感信息的目的
检查程序运行时监视鼠标是否移动。一般被恶意软件用于沙盒逃逸
风险分析 这个文件可能是一个挖矿软件,这种类型的程序一旦被执行,通常会悄悄在后台运行进行挖矿,会大量占用CPU和显卡的资源,导致系统卡顿、提高系统耗电、缩短CPU和显卡的寿命。
处理建议 首先需确认攻击源和目标主机所处网络位置,对于内网向外发起的攻击行为,需要对攻击源主机进行隔离分析,通过杀毒软件扫描确认是否存在被植入恶意挖矿软件;
需要对受攻击主机按照以下步骤进行处理:
1、根据告警信息,定位受攻击客户端IP,及时删除挖矿文件;
2、如果该文件已经运行,使用专业杀毒软件,更新至最新病毒库,对进程和恶意程序进行查杀;
3、如果仍然无法清除,将计算机启动到安全模式(开机过程中按F8键即可),用安全模式杀毒软件进行查杀该恶意程序; |