记录一次挖矿病毒紧急处理过程

上周一早上，我和磊哥正百无聊赖的在公司大门口抽烟，突然手机提示我们的xenApp服务器资源使用率过高。按理说，这服务器一个月的总访问量也不会超过100，资源不可能耗尽。

初步估计是病毒，没的说，开始排查。由于我们都不是专业的安全人员，不会做逆向分析，所以只是大致分析了病毒的行为，并做了紧急处理，下面是处理过程。

首先我们看资源，发现有N个cmd、powershell进程，同时也查询到有大量的445端口数据包

然而诡异的是竟然没能通过进程定位的病毒文件，最关键的我们所用的某著名杀毒软件，这兄弟竟然也没吱声，看来被同化了。

继续排查，在计划任务中，发现了一些踪迹

这是一段powershell代码，但是被加密过

可以看到一个恶意网址，从计划任务和powershell内容的字面意思可以理解，是每隔1小时，去访问这个恶意网址调取powershell脚本执行。

综上，基本可以看出这是个挖矿病毒，感觉上和之前某驱动下载软件漏洞导致的挖矿病毒类似。

能分析出这个，就好办了。

首先，通过组策略，关闭全网服务器的445端口，必须要开放的，只向固定的用户开放。

然后，防火墙增加恶意域名黑名单，阻止连接。更换杀毒软件，目前来看用SCEP可以扫出该病毒并清除。

当然这只是临时的紧急处理方法，针对病毒的逆向解析和溯源，还是要等专业的安全人员协助进行。