5.2.1感染確認

　　1)個人用戶

　　a.通過Windows任務管理器（或PCHunter或Process Explorer）或Linux下使用命令ps -aux ，找到高CPU占用的進程及其文件。若文件在系統目錄下，在另一臺機器上找到同名的正常系統文件與可疑文件進行對比；若在某軟件目錄下，找到該軟件的同名正常文件與可疑文件進行對比。

　　挖礦進程CPU占用

　　b.使用PCHunter或Linux下使用命令netstat -tup 查找進程網絡連接的IP及端口，特別是5559、7777、4444、13333等可疑遠程端口連接。接著使用該IP地址進行域名反查，注意指向該IP的域名中是否包含“miner”,”pool”等字樣。

　　若在以上a步驟中排除系統文件或正常軟件文件，且該文件具有b中的可疑網絡連接，則可能感染挖礦木馬。

　　2)企業用戶

　　企業用戶建議部署騰訊御界高級威脅檢測系統，可識別挖礦過程中的通信協議，從網絡流量中檢測挖礦行為。

　　御界檢測挖礦行為

　　5.2.2 病毒移除

　　確認感染挖礦木馬后，可使用騰訊電腦管家清除，也可嘗試按照以下步驟進行手動清除：

　　1）Windows系統

　　使用PCHunter或其他管理工具退出可疑進程，刪除進程文件，并在啟動項、服務、計劃任務中找到啟動該文件映像的項目并刪除。

　　PCHunter刪除挖礦木馬啟動項

　　2）Linux系統

　　下通過命令pkill -9退出進程；

　　刪除進程文件，并檢查crontab命令下顯示的木馬相關定時任務；

　　刪除以下目錄下木馬相關定時任務；

　　/var/spool/cron/root/

　　/var/spool/cron/crontabs

　　刪除以下目錄下木馬相關自啟動項；

　　/etc/rcS.d/

　　/etc/rc.d/init.d/

　　企業用戶可在服務器部署騰訊御點終端安全管理系統，對挖礦木馬進行清理。

　　5.2.3 清理僵尸網絡

　　1）MyKings

　　MyKings僵尸網絡清理建議

　　排查數據庫作業名稱，清除包含惡意代碼的作業；

　　排查數據庫存儲過程，清理包含惡意代碼的內容；

　　由于MyKings最新版本還會感染“暗云“MBR、Rookit等頑固病毒，用戶可使用電腦管家系統急救箱進行查殺清理，使用指南及下載鏈接：https://guanjia.qq.com/avast/283/index.html

　　電腦管家系統急救箱清理MBR和內核級病毒

　　2）WannaMiner

繼續閱讀：

此文由 中國比特幣官網 編輯，未經允許不得轉載！：首頁 > 比特幣挖礦 » 騰訊安全發布2019年度挖礦木馬報告（全文）