针对explorer一键挖矿病毒,海青实验室曾经做过详细的安全研究分析,读者可以关注海青实验室的微信公众号进行了解。与以往的类似恶意挖矿软件相比,该病毒有了不小的“进化”:手段更加隐蔽,清除更加困难。为了能够帮助用户彻底清除该病毒,我们发布了专项清除工具,您可以通过文末提供的联系方式获取。
由于该病毒行为多且复杂,在清理过程中使用专项清除工具后需要再人工介入根据实际环境采取相应的措施。
32位操作系统使用PsExec.exe,
64位操作系统使用PsExec64.exe。
接下来我们将对工具使用方法和工具行为进行描述,此处演示64位系统清理过程。
清除工具操作步骤:
1、使用PsExec64.exe -i -d -s powershell提权至system
2、弹出system权限的powershell,切换到清除脚本所在的目录
3、使用命令
powershell.exe -ExecutionPolicy bypass -File clear.ps1
运行脚本
一路回车清除完成。
若中间出现红色字体错误,请确认该路径是否存在。
脚本模块自动完成的工作如下:
需手动清除的情况
·防火墙配置需要根据具体所部署安全策略情况来清除
·若是探测到域后门,此处也需要手动清除
·手动清除以下任务计划:Start Service
(由于系统中原本可能存在该任务计划,需要确认是否被修改后再考虑删除),其运行的命令是否为 "net start cspsvc" ,若是则删除。
·删除用户adm
确认adm用户是无人使用且确认为新增账户。管理员权限运行cmd,使用命令Net user adm /delete可以删除该用户
为确保用户能及时有效地清除挖矿病毒,用户可以通过以下联系方式获取专项清除方案以及必要的人工协助。
您可以发邮件至:support@safedog.cn
或拨打热线:400-1000-221
我们将尽***的努力为您免除安全威胁的困扰!