我司近期發(fā)現(xiàn)有部分客戶(hù)服務(wù)器系統(tǒng)資源占用異常的情況，具體表現(xiàn)為cpu持續(xù)占用100%，嚴(yán)重影響服務(wù)器系統(tǒng)運(yùn)行，造成卡頓，應(yīng)用處理不及時(shí)甚至拒絕服務(wù)的現(xiàn)象。

　　技術(shù)人員檢查發(fā)現(xiàn)，被入侵的服務(wù)器主要有以下幾類(lèi)：

　　1、服務(wù)器進(jìn)程中均有netcore.exe和winhost.exe進(jìn)程，占用剩余的cpu資源，導(dǎo)致使用率持續(xù)居高不下。

　　該惡意程序目前發(fā)現(xiàn)集中存在于Windows2008系統(tǒng)上，其他系統(tǒng)暫未發(fā)現(xiàn)，文件路徑c:\windows\和c:\windows\system32\，主要有四個(gè)文件，其中netcore.exe和winhost.exe文件常駐進(jìn)程，嘗試通過(guò)taskkill殺掉進(jìn)程后，會(huì)立即啟動(dòng);同時(shí)會(huì)增加自動(dòng)運(yùn)行的ntuhost系統(tǒng)服務(wù)項(xiàng)目，

　　清除此惡意程序的辦法是：

　　進(jìn)入“服務(wù)”，停止ntuhost服務(wù)，以管理員身份運(yùn)行cmd，執(zhí)行sc delete ntuhost，并回車(chē)，刪除服務(wù)，然后打開(kāi)任務(wù)管理器，結(jié)束netcore.exe和winhost.exe進(jìn)程，然后刪除c:\windows及c:\windows\system32\下相應(yīng)文件。

　　2、服務(wù)器進(jìn)程中均有micc.com的進(jìn)程，占用剩余的cpu資源，導(dǎo)致使用率持續(xù)居高不下。

　　該惡意程序目前發(fā)現(xiàn)集中存在于Windows2008系統(tǒng)上，其他系統(tǒng)暫未發(fā)現(xiàn)，文件路徑c:\windows\debug\so\，主要有四個(gè)文件，其中micc.com文件常駐進(jìn)程，嘗試通過(guò)taskkill殺掉進(jìn)程后，會(huì)立即啟動(dòng);嘗試通過(guò)unlocker刪除so目錄，也會(huì)失敗。

　　清除此類(lèi)惡意程序的辦法是：

　　方法一：安裝殺毒軟件，對(duì)系統(tǒng)目錄進(jìn)行掃描，基本可以清除文件。

　　方法二：取消so目錄繼承權(quán)限，然后結(jié)束進(jìn)程任務(wù)，此時(shí)micc.com會(huì)因?yàn)闆](méi)有權(quán)限，無(wú)法自動(dòng)啟動(dòng)。

　　方法三：重啟服務(wù)器，通過(guò)vnc控制臺(tái)進(jìn)入安全模式，刪除so目錄，然后正常啟動(dòng)服務(wù)器。

　　3、服務(wù)器進(jìn)程中均有其他惡意進(jìn)程，占用剩余的cpu資源，導(dǎo)致使用率持續(xù)居高不下，或者對(duì)外進(jìn)行網(wǎng)絡(luò)發(fā)包、占用服務(wù)器上端口，導(dǎo)致使用端口的正常服務(wù)無(wú)法運(yùn)行。

　　還有其他惡意程序，偽裝為系統(tǒng)核心文件例如system、svhosts等，創(chuàng)建進(jìn)程和服務(wù)，控制服務(wù)器。因?yàn)槲覀兘ㄗh您按照以下的方法檢測(cè)服務(wù)器。

　　注意：如果您不是很懂windows服務(wù)器，請(qǐng)先備份您的網(wǎng)站及數(shù)據(jù)，然后執(zhí)行下面的步驟：

　　第一步：查看C盤(pán)根目錄下面是不是存在picture.exe的程序，一般由這個(gè)惡意病毒的服務(wù)器上的訪(fǎng)問(wèn)會(huì)出現(xiàn)數(shù)據(jù)庫(kù)連接失敗的問(wèn)題，一般是由于該惡意病毒將服務(wù)器上所有端口惡意占用導(dǎo)致的，可以嘗試的方法是：在任務(wù)管理器--進(jìn)程中找到這個(gè)程序的進(jìn)程，然后右鍵打開(kāi)文件所在位置，然后繼續(xù)在進(jìn)程上右鍵選擇轉(zhuǎn)到服務(wù)，停止這個(gè)服務(wù)，接著在剛才打開(kāi)的文件位置中刪除病毒程序，然后重啟服務(wù)器。另外我們建議最好重做系統(tǒng)。

　　第二步：查看c:\windows目錄下有沒(méi)有最近修改或添加的名稱(chēng)很古怪，且后綴為exe的程序，如果發(fā)現(xiàn)，請(qǐng)直接刪除，刪除報(bào)錯(cuò)的，請(qǐng)先打開(kāi)任務(wù)管理器，結(jié)束對(duì)應(yīng)程序的進(jìn)程。

　　第三步：查看c:\windows\system32目錄修改時(shí)間是不是最近幾天的，如果是則進(jìn)入該目錄按照修改時(shí)間排序文件，查看目錄下有沒(méi)有最近修改或添加的名稱(chēng)很古怪，且后綴為exe的程序，如果發(fā)現(xiàn)，請(qǐng)直接刪除，刪除報(bào)錯(cuò)的，請(qǐng)先打開(kāi)任務(wù)管理器，結(jié)束對(duì)應(yīng)程序的進(jìn)程。

　　第四步：查看c:\windows\temp 下有沒(méi)有最近修改或添加的名稱(chēng)很古怪程序文件，如果發(fā)現(xiàn)，請(qǐng)直接刪除。

　　第五步：檢查系統(tǒng)服務(wù)，如果發(fā)現(xiàn)異常的服務(wù)，請(qǐng)停止并改其啟動(dòng)屬性為“禁用”，查看系統(tǒng)啟動(dòng)項(xiàng)中有沒(méi)有被添加開(kāi)機(jī)啟動(dòng)的惡意程序，如果有，請(qǐng)刪除該啟動(dòng)項(xiàng)。

　　第六步：檢查服務(wù)器用戶(hù)有無(wú)異常，如果有admin這樣的用戶(hù)名，就需要注意，很可能是黑客創(chuàng)建的用戶(hù)名，在確實(shí)用戶(hù)確認(rèn)非自己創(chuàng)建、并且無(wú)用的情況下請(qǐng)刪除該用戶(hù)。

　　最后，感謝您的支持，我們也建議您下載下面的小工具在服務(wù)器上運(yùn)行，屏蔽445 137 139端口，運(yùn)行時(shí)請(qǐng)退出殺毒軟件，如果在排查過(guò)程中遇到問(wèn)題，請(qǐng)聯(lián)系我們。

block445.rar