第一次下载到门罗币挖矿病毒!
经过:8月9日下载了破解版的IDM和Winrar,8月17日发现内存占用异常,发现COM Surrogate进程内存占用很大,但未细查,仅关闭进程。8月20日仔细调查发现,该进程为门罗币挖矿进程,进程位置在C:\Users\17287\AppData\Roaming\Dll\dlIhost.exe,不在正常的Dllhost进程应在的文件位置,通过各种云查杀引擎发现,其MD5值为 5379852b9f51c9e053c550a40ab13c5d,大小 3.95 MB (4142080 bytes),首次创建时间为2021-02-03,文件未经签名,和以下IP有联系:
107.178.104.10
192.110.160.114
91.121.140.167
149.202.83.171
94.23.23.52
94.23.247.226
37.187.95.110
很奇怪为何WD没有查杀出这个病毒,原来他会自动把位置添加到WD的whitelist当中,十分狡诈。
教训:别图便宜用破解软件。
经过:8月9日下载了破解版的IDM和Winrar,8月17日发现内存占用异常,发现COM Surrogate进程内存占用很大,但未细查,仅关闭进程。8月20日仔细调查发现,该进程为门罗币挖矿进程,进程位置在C:\Users\17287\AppData\Roaming\Dll\dlIhost.exe,不在正常的Dllhost进程应在的文件位置,通过各种云查杀引擎发现,其MD5值为 5379852b9f51c9e053c550a40ab13c5d,大小 3.95 MB (4142080 bytes),首次创建时间为2021-02-03,文件未经签名,和以下IP有联系:
107.178.104.10
192.110.160.114
91.121.140.167
149.202.83.171
94.23.23.52
94.23.247.226
37.187.95.110
很奇怪为何WD没有查杀出这个病毒,原来他会自动把位置添加到WD的whitelist当中,十分狡诈。
教训:别图便宜用破解软件。
