一次挖矿病毒处理过程

事件背景

  深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件，尝试进行C&C攻击，根据分析，因终端感染病毒，病毒文件尝试访问恶意网址，首先到DNS上进行解析，但是内网DNS无法解析到该域名，导致解析失败，同时该恶意域名被入侵检测设备检测到。现在明确终端中毒，本次过程通过深入发掘通信过程，找出恶意进程，并进行病毒木马清除。

事件排查过程以及结果

根据TDA报送的告警事件，恶意回调的域名为amnsreiuojy.ru，感染终端为：x.x.x.14，详细信息为：

将域名丢进威胁情报查一波：

为找出该恶意进程，进行如下操作：

1、在终端上，修改hosts文件，将域名强制指向b.b.b.20.

2、在终端上，找到与该域名通信的进程：

3、显然是wuauclt.exe被恶意感染。wuauclt.exe是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使计算机无法得到最新更新信息。显然，病毒注入了该进程，通过该进程启动，删掉该进程可以暂时解决问题，但是一开机重启，病毒又会运行起来。

4、通过查看操作系统启动项，看是否有不明文件：

5、显然12646这个文件显得不明不白，直接丢进沙箱进行一波分析，发现病毒通过优盘传播：

多个引擎检测出来病毒：

通过注册表实现自启动：

尝试访问恶意域名，尝试访问恶意域名，并与入侵检测设备报送一致：

进程树如下，与最初判断一致：

6、处置方法：

1）删除自启动注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\34286

2）删除文件

C:\ProgramData\Local Settings\Temp\cckcelu.com

3）删除开机启动文件12646

7、通过处置后，再无往外请求恶意域名的流量：