挖礦病毒流量特徵

A. 挖礦病毒分析（centos7）

rm -rf /root/.ssh/*
如果有配置過密鑰認證，需要刪除指定的黑客創建的認證文件即可。
ls /proc/10341 查看進程文件

該腳本執行了 /xm 腳本，並且總是會重啟服務。如果此程序不進行清除，即使殺死了對應的進程，過一會還是會執行重新創建，又導致伺服器異常。

因此，先停止啟動腳本配置項：

systemctl disable name.service
刪除腳本：

rm -rf /etc/systemd/system/xm.service

5,啟動腳本刪除完後，刪除相應的程序
ps -ef|grep xmrig
ps -ef|grep javs

kill 9 pid

ls /proc/10341

B. win32.troj.ethashminer.a.是什麼病毒

因為使用某國產播放器（看看影音）後，感染了「挖礦病毒"—Win32.Troj.EthashMiner.a，病毒的表現如下：
1、發現電腦中C盤可使用空間驟降，且在C盤Ethash文件夾內，發現存在大量的1G左右的垃圾文件。
2、電腦閑置狀態時，風扇轉速增快，電腦發熱增加，GPU使用率達到100%。非閑置狀態時，恢復正常。

用常用的殺毒或者安全軟體最新版本即可查殺。

C. 挖礦會被電信公司發現

不確定，中國電信江蘇分公司校園門戶網站(pre.f-young.cn)提供下載的「天翼校園客戶端」被植入後門病毒，該病毒可接受黑客遠程指令，利用中毒電腦刷廣告流量，同時也會釋放「門羅幣」挖礦者病毒進行挖礦。用戶在安裝「天翼校園客戶端」之後，就會在安裝目錄中自動釋放speedtest.dll文件，也就是病毒的本體，所有執行下載、釋放其他病毒模塊等操作都由這個文件進行。廣告刷量模塊被執行後，它會創建一個隱藏的IE窗口，然後開始讀取雲端指令，在後台模擬用戶操作滑鼠、鍵盤點擊刷廣告。為了讓用戶不察覺這一情況，還屏蔽了音效卡播放廣告頁面中的聲音。
另外的病毒挖礦模塊，在分析之後發現所挖的是「門羅幣」，這是一種類似於「比特幣」的數字虛擬貨幣，每杖價格約500元。當病毒模塊開始「挖礦」時，計算機CPU資源佔用量明顯飆升，導致電腦性能變差，發熱量上升，同時電腦風扇也會高速運行，電腦噪音也會隨之增加。最後還發現，一款簽名為「中國電信股份有限公司」農歷日歷(Chinese Calendar)同樣存在該後門病毒。一般來說，像電信這樣大型企業公司的簽名應該不會存在什麼問題，這次被植入病毒確實讓人覺得有些奇怪，但究竟是怎麼被植入的，目前還沒有結果。
比特幣介紹：
一、比特幣的發行和交易的完成是通過挖礦來實現的，它以一個確定的但不斷減慢的速率被鑄造出來。每一個新區塊都伴隨著一定數量從無到有的全新比特幣。境外很多人以挖礦為生，但是在境內是不允許的，目前有關部門對此內容採取嚴打態勢。在家裡利用電腦挖礦，如果沒有大量用電的情況下，一般不會被供電局調查；如果耗電比較嚴重，又或者是有偷電行為，就有可能被供電局調查。到時候就不僅僅是被罰款那麼簡單了，還有可能承擔刑事責任。
二、工業互聯網平台和智能設備成為網路威脅的重要目標。據國家工業信息安全發展研究中心監測，第二季度我國境內共有22個工業互聯網平台提供服務，針對這些工業互聯網平台的、來源於境外的網路攻擊事件共有656起，涉及北京、重慶、湖南、內蒙古等地區；新增工業控制系統漏洞115個，涉及羅克韋爾、西門子、施耐德電氣等品牌的71款產品；我國境內感染工業互聯網智能設備惡意程序的受控IP地址共有52.7萬余個，受控IP地址數量在1萬個以上的僵屍網路共有13個。

D. 辦公網線為什麼被監測到挖礦

一種常用的技術手段。
中挖礦病毒有以下幾種顯著的表現：1、電腦異常運行緩慢。
2、電腦異常死機/卡機。
3、什麼都沒打開但是cpu佔用率非常高。
4、網路緩慢，出現大量網路請求。
挖礦都是燒的顯卡，以下方法可以鑒定自己顯卡是不是礦卡：通過肉眼來識別這個硬體究竟是不是礦卡，其實通過其他方式也可以測出，就比如說你到電腦裡面去測礦卡的超頻性能，去跟官方的數據進行對比，測礦卡供電的穩定性，也可以測出來是不是礦。

E. 挖礦木馬是什麼

就是你電腦後台自行消耗顯卡與CPU資源的木馬病毒，這種木馬是看你電腦配置很高，後台自行挖礦，你一般看不出來，但是你顯卡或CPU佔用很高的。

F. 怎麼查看電腦有沒有挖礦病毒

中挖礦病毒有以下幾種顯著的表現：
1.電腦異常運行緩慢
2.電腦異常死機/卡機
3.什麼都沒打開但是cpu佔用率非常高
4.網路緩慢，出現大量網路請求

G. 這7個跡象出現，說明手機上可能有惡意軟體

轉自HackRead，作者 Uzair Amir，藍色摩卡譯，合作站點轉載請註明原文譯者和出處為超級盾！

惡意軟體和間諜軟體是兩個最常與台式電腦有關的安全問題。雖然電腦確實容易感染惡意軟體，但不要忽視移動設備也會受到感染的事實。 當智能手機感染了惡意軟體，它會導致幾個問題，包括黑客會竊取用戶的信息。

智能手機用戶必須意識到許多安全威脅，包括最近黑客實施的生物信息劫持（指紋等個人信息）。當手機感染病毒時，如果沒有檢測到， 會導致幾個問題，包括勒索軟體、密碼盜竊和機密數據竊取。

此外，還有可能導致智能手機物理功能問題的惡意軟體。 這里有7個跡象表明你的智能手機被惡意軟體感染了:

要想知道我的手機是否感染了病毒， 首先要注意的是數據使用量的突然增加 。盡管智能手機上的一些應用程序和 游戲 可能會有大量數據。

但當沒有明顯原因的數據使用量突然增加時，這可能是手機感染了病毒的跡象 ，尤其是像ADB這樣的惡意軟體。Miner（挖礦病毒）以在Android手機和智能電視上挖掘Monero硬幣而聞名。

iOS和Android都在設置應用程序中提供了一個部分，允許智能手機用戶了解他們的設備上使用了多少數據。 Android設備也將能夠提供一個圖表，顯示特定時間段內的數據使用情況——這使得檢測突然增長變得很容易。

Android:

iPhone:

要打開或關閉蜂窩數據，請進入「設置」，然後點擊「蜂窩數據」或「移動數據」。 如果你使用iPad，你可能會看到設置>蜂窩數據。 如果你使用的是雙卡iPhone ，你需要將你的一個套餐設置為主數據號 ，以便查看你使用了多少手機數據。

另一個可能預示智能手機感染的常見信號是電池突然開始以比平時更快的速度耗盡。 雖然這有時可能是電池損壞的跡象，但也有多種病毒可能導致智能手機電池迅速耗盡 。

因此，如果在學習如何檢查手機是否有病毒時出現了這個問題， 那麼在花錢更換電池之前，應該先掃描手機是否有病毒感染。 在2019年2月，研究人員揭露了一場主要的安卓廣告詐騙活動，名為「排放機器人」(DrainerBot)，它會消耗電池和竊取設備的數據。

市場上一些最新的智能手機往往配備了強大的處理器和足夠的內存，以便輕松處理應用程序和 游戲 中使用的最新技術。 當這種智能手機突然開始缺乏性能時（比方變卡），這也可能是該設備感染了病毒的跡象。

有時只有在進入需要強大的CPU和GPU的 游戲 時，才會注意到糟糕的性能。在其他情況下， 病毒也可能導致移動設備的總體性能下降——即使是在執行簡單的任務時，比如打電話或讀簡訊變卡或無法正常運行 。

除了發現這款智能手機在性能方面存在不足外，還有一個跡象表明它感染 HiddenMiner之類的惡意軟體，那就是過熱了 。這在大多數智能手機中並不常見;因此，當出現過熱問題時，病毒掃描可以幫助檢查手機上的惡意軟體。

感染智能手機的病毒有時會導致不熟悉的應用程序自動安裝。 因此，當應用程序在用戶不知情的情況下出現在手機上時，這可能是設備感染病毒的又一個跡象。

每個不熟悉的應用程序都應該有一個概述，這通常是來自寫作服務。所以安裝某些程序之前，最好看看過去使用過該應用程序的評論者很重要。 當應用程序看起來可疑時，不僅要刪除它，還應該徹底掃描設備，以尋找可能的病毒殘留痕跡。

如果你想知道我的手機是否感染了惡意軟體，你應該警惕自己的移動數據和Wi-Fi開關。 由於病毒通常會通過互聯網發送和接收數據，在用戶禁用移動數據或Wi-Fi連接後，感染可能會導致數據被打開。

另一個惱人的、但卻是移動設備上病毒的明顯標志就是彈出式廣告。 這些廣告通常會在用戶離開應用程序並停留在手機主頁上之後才出現。 彈出式廣告有時會顯示不合適的廣告，或將用戶帶到智能手機應用商店的移動應用程序。

惡意軟體可以影響台式電腦和移動設備。 當智能手機受到影響時，它會導致個人數據泄露給黑客。

在這些情況下，會出現幾個問題，包括可能存儲在智能手機上的信用卡信息 。那些懷疑自己可能被感染的人應該學習如何發現自己的手機是否有病毒。 這可以幫助他們採取行動，以消除病毒和保護他們的敏感數據。

精彩在後面

Hi，我是超級盾

更多干貨，可移步到，微信公眾號：超級盾訂閱號！精彩與您不見不散！

超級盾能做到：防得住、用得起、接得快、玩得好、看得見、雙向數據加密！

截至到目前，超級盾 成功抵禦史上最大2.47T黑客DDoS攻擊，超級盾具有無限防禦DDoS、100%防CC的優勢

H. 手機中病毒的幾種表現

1.手機異常卡頓
在網路正常的情況下，手機突然變得非常卡，運行速度明顯比往常慢得多，打開個頁面總是要等待很久，甚至需要反復刷新幾次才會跳轉出來。查看手機後台數據，發現存儲空間明顯減小，這可能是手機病毒的運行在消耗大量存儲空間。

2.莫名扣費
不知道大家有沒有留意過自己的手機扣費情況，當手機出現莫名扣費，幾天內的費用是正常費用的好幾倍，可能是病毒在搞鬼。這有兩種可能，一種是惡意扣費病毒，你不小心點到某個鏈接就自動扣費了，還有一種可能是病毒在後台運行，消耗大量流量，導致費用增加。

3.耗電速度加快
在同樣的使用頻率下，手機耗電速度比往常更快，比如以前充滿電可以持續使用一整天，但是最近只能維持半天使用，手機可能已經有病毒，手機病毒正在進行暗箱操作，導致電池損耗加快。

4.通話莫名中斷
跟別人在手機通話中經常出現莫名中斷的情況，我們首先排查是不是手機信號和運營商的問題，如果之後還是反復中斷，很可能是手機里有了病毒，它會對通話質量造成不良影響。

5.手機出現莫名軟體
手機桌面突然出現一些來歷不明、聽都沒聽過的軟體，還時不時彈出各種亂七八糟的廣告，這很可能是手機在瀏覽非正規網站時，連帶自動下載了一波垃圾軟體，這些垃圾軟體往往攜帶病毒。

6.手機自動關機重啟
如果你正在玩著手機游戲或者正在聊天，手機突然就黑屏自動關機了。有時候玩著玩著，手機卻自動重啟了，如果這些情況經常發生，說明手機已經感染上病毒了。

7.手機發熱異常
惡意病毒會給手機性能帶來更大的負擔，如果手機在低速運行或不使用情況下，手機發熱嚴重，摸起來發燙，它很可能已經感染了病毒。

8.手機經常彈出廣告
登陸瀏覽器時，手機經常彈出廣告，或者經常收到一些附帶鏈接的廣告簡訊，手機感染病毒的可能性就很大了。
如果你的手機出現以上症狀，很可能是手機中病毒了，想進一步確認是否中毒，可以使用第三方殺毒軟體檢測一下。

I. 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。