起因:
最近服务器群里的两台Windows虚拟服务器上的CPU占用率超级高(已经达到了91%),严重影响公司程序的正常运行,但是又不能安装杀毒软件(一安装杀软系统就崩溃,(T_T)我也很崩溃啊~),所以只能手动查杀。
一次检查过程:
在“任务管理器”里找出了“CPU列”后发现有一个进程(SteamClient.exe,不知道的还以为我在服务器上吃鸡呢,可惜服务器上没有显卡2333),这个进程很诡异的占用了CPU 90%,直接右键“打开文件所在位置”后进入了路径为 C:\Program Data 这个文件夹(注意!这不是系统的ProgramData隐藏文件夹,两个单词之间多了一个空格,并且文件夹并不是隐藏的),文件夹里有两个文件,一个是mainer.zip,一个是SteamClient.exe,把这两个文件拷贝出来到个人电脑上后查杀,两个文件都报风险项HackTool/CoinMiner.a (那个 SteamClient.exe 其实就是 mainer.zip 解压出来的)。
一次查杀过程:
既然找到了病毒,现在就是在“任务管理器”里结束 SteamClient.exe 进程,然后删除 C:\Program Data (再次注意!这个不是系统的那个文件夹,不要删除错了!)这个文件夹。瞬间服务器CPU就降下来了,清爽多了。
一次结果:
到第二天又发现那两台服务器的 CPU 又飙升到了 90%上下, 证明刚才删除的文件只是运行文件,这次攻击还有中间手段在运行,方便挖矿病毒能够在被删除以后还能自动生成,然后运行。结论是除了上面检查出来的文件夹还有其他恶意程序在运行。
二次检查过程:
这次检查借助了一下检查工具(Trojan Killer:免安装版,本来是查杀一体,但是杀毒需要付费,所以我就只用来检测了。注意!会占用服务器的IO读写性能,所以请在服务器空闲时使用!),经过长时间的全文件检测以后,报出了 C:\Windows\HhSm\taskmrg.exe 是 Trojan/Miner.ac 的风险项,该文件伪装成类似任务管理器的名称来欺骗手工清除,找到 HhSm 文件夹以后发现里面有4个文件:一是 debug.txt (该文件是 taskmrg.exe 运行的信息输出记录,揣测是方便开发者查看可执行文件运行情况的) ,二是 parameters.ini (该文件是 taskmrg.exe 运行时的参数设置,SteamClient这个名称就是在这个文件里配置的),三是 restart.bat (该文件是重启 AdobeFlashPlayerHash 的批处理文件),四是 taskmrg.exe (这是正主!)。
二次查杀过程:
这次就直接删除 HhSm 这个文件夹了,因为 taskmrg.exe 不是常驻进程,所以没有占用,可以直接删除。
二次结果:
这次删除后还有待观察是否还有其他伪装文件存在,但是暂时解决了这个问题。
