勒索病毒是怎么中的-SQL弱口令转载

分享到:

2019-11-30 21:57:08

由于数据库给的权限太高,导致可以进行服务器命令执行查看服务器端口的连接状态:
 
创建服务器账号并加到管理员组:
 
用创建的账号登录服务器:
 
查看服务器外连的进程情况,发现大量的异常外连尝试:  

 
经排查未发现可疑用户、计划任务,但是发现异常进程:
 

病毒分析过程发现的病毒文件,该文件是mssecsvc.exe,经分析该文件是病毒木马的母体: 

 

病毒执行后,会启动线程,循环向局域网的随机ip发送SMB漏洞利用代码
  

病毒文件相关逻辑分析

 

虚拟机启动病毒文件后,监控到的进程:1) 创建多个执行文件2) 加载动态链接库3) 创建socket连接4) 尝试打开链接地址5) 移动及重命名敲诈加密程序tasksche.exe 最终选择重装系统。
声明:此篇为用友服务中心文章,转载请标明出处链接:
上一篇:服务器中了.wiki后缀的勒索病毒如.. 下一篇:865、865qq、865-10、865-20,865..

最新图文推荐

  • 相关文章
  • 热门下载
  • 数据修复
  • 热门标签

相关栏目

最新文章

推荐产品

热门模板推荐

相关文章推荐

合作伙伴
周边用友服务
天津用友
张家口用
昌平用友
房山用友
热门推荐
用友T3
用友U8
用友T+软件
用友年结
勒索病毒数据恢复
友情链接
用友注册
正版验证
上海用友
轩益科技
| Copyright 2010-2022 用友服务中心 京ICP-2031537-1 用友服务电话010-84986180