查看原文
其他

【解决方案】安全狗发布explorer一键挖矿病毒专项清除方案

海青实验室 安全狗 2022-05-30

↑ 点击上方“安全狗”关注我们


针对explorer一键挖矿病毒,海青实验室曾经做过详细的安全研究分析


链接:【安全研究】关于explorer一键挖矿病毒的分析研究


与以往的类似恶意挖矿软件相比,该病毒有了不小的“进化”:手段更加隐蔽,清除更加困难。为了能够帮助用户彻底清除该病毒,我们发布了专项清除工具,您可以通过文末提供的联系方式获取。


由于该病毒行为多且复杂,在清理过程中使用专项清除工具后需要再人工介入根据实际环境采取相应的措施


32位操作系统使用PsExec.exe,

64位操作系统使用PsExec64.exe。


接下来我们将对工具使用方法和工具行为进行描述,此处演示64位系统清理过程。


清除工具操作步骤:


1、使用PsExec64.exe -i -d -s powershell提权至system


2、弹出system权限的powershell,切换到清除脚本所在的目录


3、使用命令

powershell.exe -ExecutionPolicy bypass -File clear.ps1


运行脚本


一路回车清除完成。

若中间出现红色字体错误,请确认该路径是否存在。


脚本模块自动完成的工作如下:


需手动清除的情况

·防火墙配置需要根据具体所部署安全策略情况来清除

·若是探测到域后门,此处也需要手动清除

·手动清除以下任务计划:Start Service

(由于系统中原本可能存在该任务计划,需要确认是否被修改后再考虑删除),其运行的命令是否为 "net start cspsvc" ,若是则删除。

·删除用户adm

确认adm用户是无人使用且确认为新增账户。管理员权限运行cmd,使用命令Net user adm /delete可以删除该用户


为确保用户能及时有效地清除挖矿病毒,用户可以通过以下联系方式获取专项清除方案以及必要的人工协助。


您可以发邮件至:support@safedog.cn

或拨打热线:400-1000-221


我们将尽最大的努力为您免除安全威胁的困扰!



点击阅读原文

注册服云帐号

享受更专业的云安全服务


往期精彩文章:

【企业动态】2018中国网络安全年会:安全狗CEO陈奋深度解读EDR

【企业动态】安全狗区块链安全解决方案亮相厦大区块链论坛

【云安全】干货 | 反击勒索软件,我们可以这样

【云安全】手机掌握云端安全状态?绑定云安全服务中心就够了!

【企业动态】5分钟读懂企业选择EDR产品的核心要素

【企业动态】安全狗CEO陈奋:如何构建智能的云计算基础设施安全平台?

【安全预警】高危安全预警50期:Weblogic反序列化远程代码执行漏洞

【安全研究】安全行业大牛怎么看数字货币相关的安全问题?

【行业动态】最新网络安全全景图发布,看看你在什么位置?

【行业动态】国内首次工业互联网安全防护演练举行

【实事追踪】并不是所有的“生活”都需要“分享”:个人信息保护之痛

【企业动态】青岛公安致谢安全狗:上合峰会网络安保这场硬仗,打得漂亮!

【安全研究】关于挖矿蠕虫Wannamine2.0的研究分析

【安全研究】一次内网入侵事件的复盘还原

再获优质资质!公安部颁发的等保服务资质证书,了解一下?

优!安全狗CNCERT省级支撑单位考核获评优等

【安全研究】一起由tomcat弱口令导致的入侵事件

我们发现了OpenCart的两个原创漏洞



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存