5.2.1感染确认

　　1)个人用户

　　a.通过Windows任务管理器（或PCHunter或Process Explorer）或Linux下使用命令ps -aux ，找到高CPU占用的进程及其文件。若文件在系统目录下，在另一台机器上找到同名的正常系统文件与可疑文件进行对比；若在某软件目录下，找到该软件的同名正常文件与可疑文件进行对比。

　　挖矿进程CPU占用

　　b.使用PCHunter或Linux下使用命令netstat -tup 查找进程网络连接的IP及端口，特别是5559、7777、4444、13333等可疑远程端口连接。接着使用该IP地址进行域名反查，注意指向该IP的域名中是否包含“miner”,”pool”等字样。

　　若在以上a步骤中排除系统文件或正常软件文件，且该文件具有b中的可疑网络连接，则可能感染挖矿木马。

　　2)企业用户

　　企业用户建议部署腾讯御界高级威胁检测系统，可识别挖矿过程中的通信协议，从网络流量中检测挖矿行为。

　　御界检测挖矿行为

　　5.2.2 病毒移除

　　确认感染挖矿木马后，可使用腾讯电脑管家清除，也可尝试按照以下步骤进行手动清除：

　　1）Windows系统

　　使用PCHunter或其他管理工具退出可疑进程，删除进程文件，并在启动项、服务、计划任务中找到启动该文件映像的项目并删除。

　　PCHunter删除挖矿木马启动项

　　2）Linux系统

　　下通过命令pkill -9退出进程；

　　删除进程文件，并检查crontab命令下显示的木马相关定时任务；

　　删除以下目录下木马相关定时任务；

　　/var/spool/cron/root/

　　/var/spool/cron/crontabs

　　删除以下目录下木马相关自启动项；

　　/etc/rcS.d/

　　/etc/rc.d/init.d/

　　企业用户可在服务器部署腾讯御点终端安全管理系统，对挖矿木马进行清理。

　　5.2.3 清理僵尸网络

　　1）MyKings

　　MyKings僵尸网络清理建议

　　排查数据库作业名称，清除包含恶意代码的作业；

　　排查数据库存储过程，清理包含恶意代码的内容；

　　由于MyKings最新版本还会感染“暗云“MBR、Rookit等顽固病毒，用户可使用电脑管家系统急救箱进行查杀清理，使用指南及下载链接：https://guanjia.qq.com/avast/283/index.html

　　电脑管家系统急救箱清理MBR和内核级病毒

　　2）WannaMiner

继续阅读：

此文由 比特币官网 编辑，未经允许不得转载！：首页 > 比特币挖矿 » 腾讯安全发布2019年度挖矿木马报告（全文）