事件发现
2026年5月,包头九原区某物业公司财务人员反映电脑运行极慢,打开Excel需要3分钟。IT检查发现:12台电脑中8台CPU占用率持续95%以上,但任务管理器中看不到异常进程。
初步排查
- 任务管理器无异常进程 → 进程被隐藏,疑似Rootkit
- 网络流量异常:每台电脑对外发出大量加密流量,目标端口4443、4555
- 异常时段:每天凌晨2:00-6:00流量峰值
- 深信服AF防火墙日志:过去7天326GB异常流量,目标为境外矿池服务器
- 连接进程:svchost_.exe(末尾下划线伪装系统进程)
溯源分析
- 恶意文件:C:\ProgramData\Microsoft\svchost_.exe,UPX加壳
- 脱壳分析:XMRig 6.21.0挖矿程序,配置指向Monero矿池
- Rootkit组件:rkloader.dll,Hook NtQuerySystemInformation隐藏进程
- 横向传播:SMB弱口令+永恒之蓝MS17-010漏洞
- 入侵入口:财务电脑下载了带木马的物业费计算器.exe
应急处置
防火墙阻断:4443/4555端口阻断+矿池域名黑名单+IPS拦截MS17-010
终端清理:EDR隔离8台主机+远程清理恶意文件+推送补丁+重置SMB口令
安全加固:应用控制+终端准入+上网行为管理
损失评估
| 感染主机 | 8台(总12台) |
| 挖矿时长 | 约14天 |
| 电费损失 | 约2400元 |
| 数据泄露 | 未发现 |
挖矿木马比勒索病毒更隐蔽——电脑慢了你以为是配置低,其实是别人在用你的电费赚钱。小公司更容易成为目标,因为防御薄弱。技术热线:17704868686
【不舍昼夜技术 · 包头IT一站式服务】
- 🔧 电脑/服务器:重装系统、硬件升级、服务器Linux/Windows环境部署
- 💾 数据安全:硬盘/U盘/数据库数据恢复、网络安全加固、病毒清理
- 📹 弱电安防:监控安装、机房建设、综合布线、门禁人脸识别
- 🖨️ 办公耗材:打印机维修、硒鼓墨盒配送、复印机租赁
- 💻 软件开发:企业官网、小程序开发、APP定制、ERP系统
服务单位:内蒙古不舍昼夜技术有限公司
业务涵盖:电脑维修/系统重装/数据恢复/监控安防/弱电布线/打印耗材
技术热线:17704868686(包头本地团队,随叫随到!)