分析报告
攻击时段
2024年7月25日10点25分;2024年7月26日10点30分
攻击影响
2024年7月25日10点25分,用户反馈出现失陷主机异常,2024年7月26日10点30分,用户反馈蛀虫占用CPU过高,运行异常
分析步骤
在任务管理器发现CPU占用内存过高的进程,进程软件是pythow.exe
接着使用PowerTool工具查看进程管理的进程路径的脚本,进程路径是C:sysbinminer.py
在资源监听器找到进程的PID
使用pssuspend64使用cmd中进行暂停恶意进程
查看计划任务,发现没有任何异常的操作行为
查看启动项PowerTool,并没有发现任意异常
计划任务和开启自启动检查完毕后,删除恶意文件,最后关闭恶意进程
分析结论
通过排查日志信息,并未查看到任何的原因,并未发现安全日志的异常
miner.py的确是被入侵了
