mykings&暗云挖矿木马的排查与解决
病毒清除步骤
1)使用Autoruns工具,先解压工具,双击Autoruns64.exe程序进行打开: https://unit.sangfor.co/app/file/Autoruns.zip
2)点击上方Everything选项,进入注册表
3)选择HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BGClients,右键点击Delete进行删除
4)选择HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\start,右键点击Delete进行删除
5)点击上方Secheduled Tasks进入计划任务
6)选择计划任务:Mysa、Mysa1、Mysa2、Mysa3、ok,右键点击Delete进行删除
7)点击上方WMI选项
8)选择WMI:fuckyoumm_consumer、fuckyoumm2_consumer,右键点击Delete进行删除
9)选择WMI:fuckyoumm4,右键点击Delete进行删除
10)点击上方Services选项,进入服务项
11)选择服务:xWinWpdSrv,右键点击Delete进行删除
12)再使用EDR进行病毒查杀,一键隔离或手动清除以下病毒文件。
13)Mykings&&暗云3病毒通过将恶意代码写入MBR中,实现开机自动,若不清除MBR中的恶意代码,那么当主机重启时,病毒文件和启动项会再次出现。使用暗云3MBR清理工具进行清除 :
https://unit.sangfor.co/app/file/%E6%9A%97%E4%BA%91%E4%B8%93%E6%9D%80%E5%B7%A5%E5%85%B7.zip
暗云MBR清理工具专杀工具使用方法:
1、右键使用管理员方式运行暗云MBR清理工具.exe程序,该工具运行后是没有现象的或弹框的,运行后观察终端是否报毒即可
Anyun3killer专杀工具使用方法:
1、双击Anyun3killer.exe工具,点击立即扫描
扫描完成后,如果有病毒则会显示检出的病毒文件,点击处置即可;若未感染,直接点击”好的”即可
14)若主机运行着SQL SERVER服务,务必检查下是否存在以下恶意代码,这些代码会每隔一段时间下载Mykings病毒,必须确保清除干净,删除红框中的病毒作业。
15) 删除红框中的存储过程
PS:当主机一段时间或重启后不再有EDR和SIP告警,说明病毒已清除干净。Mykings病毒由于功能复杂,在不同主机上现象不一,清除项在同一台主机上不一定都会出现。
2)点击上方Everything选项,进入注册表
3)选择HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BGClients,右键点击Delete进行删除
4)选择HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\start,右键点击Delete进行删除
5)点击上方Secheduled Tasks进入计划任务
6)选择计划任务:Mysa、Mysa1、Mysa2、Mysa3、ok,右键点击Delete进行删除
7)点击上方WMI选项
8)选择WMI:fuckyoumm_consumer、fuckyoumm2_consumer,右键点击Delete进行删除
9)选择WMI:fuckyoumm4,右键点击Delete进行删除
10)点击上方Services选项,进入服务项
11)选择服务:xWinWpdSrv,右键点击Delete进行删除
12)再使用EDR进行病毒查杀,一键隔离或手动清除以下病毒文件。
13)Mykings&&暗云3病毒通过将恶意代码写入MBR中,实现开机自动,若不清除MBR中的恶意代码,那么当主机重启时,病毒文件和启动项会再次出现。使用暗云3MBR清理工具进行清除 :
https://unit.sangfor.co/app/file/%E6%9A%97%E4%BA%91%E4%B8%93%E6%9D%80%E5%B7%A5%E5%85%B7.zip
暗云MBR清理工具专杀工具使用方法:
1、右键使用管理员方式运行暗云MBR清理工具.exe程序,该工具运行后是没有现象的或弹框的,运行后观察终端是否报毒即可
Anyun3killer专杀工具使用方法:
1、双击Anyun3killer.exe工具,点击立即扫描
扫描完成后,如果有病毒则会显示检出的病毒文件,点击处置即可;若未感染,直接点击”好的”即可
14)若主机运行着SQL SERVER服务,务必检查下是否存在以下恶意代码,这些代码会每隔一段时间下载Mykings病毒,必须确保清除干净,删除红框中的病毒作业。
15) 删除红框中的存储过程
PS:当主机一段时间或重启后不再有EDR和SIP告警,说明病毒已清除干净。Mykings病毒由于功能复杂,在不同主机上现象不一,清除项在同一台主机上不一定都会出现。
加固建议
1、给主机打上MS17-010永恒之蓝漏洞补丁,建议通过深信服终端安全产品(EDR)进行补丁修复或开启轻补丁功能
2、修改SQL SERVER密码为高强度密码。
3、如有使用深信服终端安全产品(EDR),建议开启实时监控功能。
2、修改SQL SERVER密码为高强度密码。
3、如有使用深信服终端安全产品(EDR),建议开启实时监控功能。
