CPU占用率100%的可疑文件（竟然还自带嘲讽图标？）

显示全部楼层 · 发表于 2021-5-5 00:16:12

本帖最后由 4O4 于 2021-5-5 00:19 编辑

《论坛限制，附件8M多，无法上传，求教、求教、多谢多谢。》

电脑较老，windows server 2008，原以为无人直接使用，故裸奔无任何防护软件；

因电脑卡顿，检查发现今年4月2日不明原因中招，看可疑进程如下图（该进程被我暂时挂起）；图二显示文件创建时间应该是查看软件bug？：

该文件名典型随机八位.exe，自己构成父子进程，子进程CPU占用100%、内存占用2.8G多。
（该可疑文件还带疑似嘲讽图标，一个小黄虫？附在一张3寸软盘上？）
查看文件存放位置和时间点，共打包2个可疑文件，见附件（压缩包8M多点，超过本坛限制，咋办？）。

显示全部楼层 · 发表于 2021-5-5 00:17:58

python 的标志

显示全部楼层 · 发表于 2021-5-5 00:23:15

百度搜索奶牛快传，上传样本，贴链接。

显示全部楼层 · 发表于 2021-5-5 00:28:44

秋日之殇发表于 2021-5-5 00:23
百度搜索奶牛快传，上传样本，贴链接。

非常感谢，已传，可惜下载次数就5次。

https://cowtransfer.com/s/04198b07b08e42
提取码：210125

显示全部楼层 · 发表于 2021-5-5 00:30:33

本帖最后由秋日之殇于 2021-5-5 00:33 编辑

分流：https://wwe.lanzous.com/i4hjzot2e0j
卡巴全杀

显示全部楼层 · 发表于 2021-5-5 00:32:27

本帖最后由 4O4 于 2021-5-5 00:33 编辑

2849 发表于 2021-5-5 00:17
python 的标志

谢谢及时回复。汗～不懂编程，也没能力和动力去学啦。
PS：我看附件保存期就一天，我后续会多传几次，如果高手们需要的话。

显示全部楼层 · 发表于 2021-5-5 00:40:05

本帖最后由 4O4 于 2021-5-5 00:43 编辑

秋日之殇发表于 2021-5-5 00:30
分流：https://wwe.lanzous.com/i4hjzot2e0j
卡巴全杀

果然都是病毒，只是不知其行为，矿毒？文件m2.ps1原来是个伪装的dll文件啊。

更担心的是真正的宿主文件不知在哪，能被轻易手查到位置的大概率是马甲小弟，且查遍启动项目，没有可疑启动项。（汗，眼真花了，自己又看了下抓图，找到了启动项，藏在计划任务里）

显示全部楼层 · 发表于 2021-5-5 00:40:50

本帖最后由 anthonyqian 于 2021-5-5 00:43 编辑

诺顿

文件名: NFgODbNY.exe
威胁名称: W32.Beapy

文件名: m2.ps1
威胁名称: Trojan Horse

根据诺顿的报法，NFgODbNY.exe是挖矿劫持蠕虫，详见：Beapy: Cryptojacking Worm Hits Enterprises in China | Symantec Blogs (security.com)

显示全部楼层 · 发表于 2021-5-5 00:42:23

4O4 发表于 2021-5-5 00:40
果然都是病毒，只是不知其行为，矿毒？文件m2.ps1原来是个伪装的dll文件啊。

更担心的是真正的宿主文 ...

不是，改成dll只是为了方便看信誉。

显示全部楼层 · 发表于 2021-5-5 00:42:53

本帖最后由 Agu 于 2021-5-5 00:50 编辑

智量 - 掃描1X 雙擊1X

Malwarebytes - 1X

[可疑文件] CPU占用率100%的可疑文件（竟然还自带嘲讽图标？）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源