5dm有挖矿木马

⑴ 在网吧蹭wifi有没有可能被植入挖矿木马

不会。网吧的电脑系统拥有很强的保护能力，就算你给电脑植入病毒，经过关机重启之后所有的病毒都会消失。

⑵ 集后门木马、挖矿脚本、勒索病毒于一身，这个ZIP压缩文件厉害了

近日，白帽子黑客Marco Ramilli捕获到了一封“奇特”的恶意电子邮件，其中包含一条链接，一旦点击就会导致一个名为“pik.zip”的压缩文件被下载。之所以说它奇特，是因为包含在这个ZIP文件中的JavaScript脚本文件采用了西里尔字母进行命名——被命名为“Группа Компаний ПИК подробности заказа”，翻译过来就是“PIK集团公司订单详情”。

需要说明的是，目前使用西里尔字母的文字包括俄语、乌克兰语、卢森尼亚语、白俄罗斯语、保加利亚语、塞尔维亚语和马其顿语等，而PIK恰好就是俄罗斯的一家房地产公司，拥有超过1.4万名员工。也就是说，攻击者显然试图将电子邮件伪装成来自PIK公司，从而借助该公司的声誉开展攻击活动。

Marco Ramilli表示，攻击者使用了多种混淆技术来对该脚本JavaScript进行混淆处理。其中，在感染第一阶段阶段存在两个主要的混淆流：

该脚本最终会释放并执行一个虚假的图像文件“msg.jpg”，该文件实际上是一个经过UPX加壳的Windows PE文件，被用于感染的第二阶段。

在感染的第二阶段，三个额外的模块会被释放并执行：一个后门木马、一个挖矿脚本和一种此前曾被广泛报道过的勒索病毒——Troldesh。

分析表明，第一个被释放的模块（327B0EF4.exe）与Troldesh非常相似。该勒索病毒会在加密目标文件之后对其进行重命名并附加一个“.crypted00000”扩展名。举例来说，当一个名为“1.jp”的文件在被加密之后，其文件名就会被重命名为“hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007”。同时，Troldesh还会篡改计算机桌面的壁纸，以显示勒索信息：

第二个被释放的模块（37ED0C97.exe）是被证实一个名为“nheqminer”的挖矿脚本，被用于挖掘大零币（Zcash，一种加密货币）。

第三个安装被释放的模块（B56CE7B7.exe）则被证实是Heur木马，该木马的主要功能是针对WordPress网站实施暴力破解，曾在2017年被广泛报道。

根据Marco Ramilli的说法，该木马的典型行为与HEUR.Trojan.Win32.Generic非常相似，包括：

一旦该木马安装成功，就会通过暴力破解来寻求弱口令凭证，而一旦发现了弱口令凭证，就将pik.zip复制到这些WordPress网站中。

Marco Ramilli认为，此次攻击活动背后的攻击者显然试图通过多种渠道来牟利——勒索病毒和加密货币挖矿脚本。此外，攻击者还试图通过受感染计算机来暴力破解并控制随机的WordPress网站。这样的攻击活动工作量显然非常大，且很容易被检测到。因此，攻击者不太可能是某个国家黑客组织，而只是一群想要同时通过多种方式来牟利的网络犯罪分子。

⑶ 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了，发觉如下信息：

1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

5、经查询该ip的所在国家是俄罗斯：

6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

7、 cd /tmp 进入相关目录：

8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

9、** kill -9 40422**杀掉kdevtmpfsi进程：

10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

11、用命令 批量杀掉 相关进程：

12、删除kinsing文件：

13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

14、 crontab -l 命令先看看crontab的定时任务列表吧：

15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

16、新增 定时任务 并删除攻击者的挖矿定时任务：

17、 crontab -l命令 查看现在只有杀进程的定时任务了：

18、禁止黑客的IP地址。

最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

⑷ 手机如何清除挖矿木马

下载杀毒软件，比如手机安全卫士，进行杀毒清理，然后重启手机就可以了。

⑸ 我电脑好像中挖矿木马病毒了！怎么能监测出来

可以打开腾讯智慧安全的页面
然后在产品里面找到御点终端全系统
接着在里面选择申请使用腾讯御点，再去用病毒查杀功能杀毒

⑹ LTC挖矿软件cgminer内有木马怎么办

你这个软件就说明带有木马呀
Trojan一词的特洛伊木马本意是特洛伊的，指特洛伊木马，是木马计的故事
如果电脑中了木马建议尽快杀毒以免造成系统问题
可以先做一次全盘杀毒
然后针对性的：
腾讯电脑管家--工具箱--木马克星
最后开启实时防毒保护。

⑺ 挖矿木马的传播途径是什么

挖矿木马是依赖漏洞、外挂程序、网页挂马、弱口令等途径进行传播的，腾讯电脑管家的2017年网络安全报告有说这个问题。

⑻ 挖矿木马是什么

就是你电脑后台自行消耗显卡与CPU资源的木马病毒，这种木马是看你电脑配置很高，后台自行挖矿，你一般看不出来，但是你显卡或CPU占用很高的。