Windows应急响应

分析报告

攻击时段

2024年7月25日10点25分；2024年7月26日10点30分

攻击影响

2024年7月25日10点25分，用户反馈出现失陷主机异常，2024年7月26日10点30分，用户反馈蛀虫占用CPU过高，运行异常

分析步骤

在任务管理器发现CPU占用内存过高的进程，进程软件是pythow.exe

接着使用PowerTool工具查看进程管理的进程路径的脚本，进程路径是C:\sys\bin\miner.py

在资源监听器找到进程的PID

使用pssuspend64使用cmd中进行暂停恶意进程

查看计划任务，发现没有任何异常的操作行为

查看启动项PowerTool，并没有发现任意异常

计划任务和开启自启动检查完毕后，删除恶意文件，最后关闭恶意进程

分析结论

通过排查日志信息，并未查看到任何的原因，并未发现安全日志的异常

miner.py的确是被入侵了