amd.dll入侵事宜:
由于MySQL 5.1.30以上版本的一个漏洞(当然是不是因为漏洞的原因,目前暂未知),导致一个后门程序会通过3306端口的MySQL服务获取到Windows的管理权限,并在系统中产生amd.dll基本后门程序,并不断释放boot1.exe/boot2.exe/12345.exe/net.exe/net1.exe....等等垃圾程序,并在系统分区根目录,Windows/system32目录,Windows/system32/dllcache目录,MySQL程序拓展目录等地方产生残留,导致系统性能降低,系统权限表出现部分混乱。
此后门病毒将对安装Microsoft Security Essentials的用户产生不小的麻烦,MSE将有一定几率认出amd.dll和boot*.exe为后门木马或后门下载病毒并进行删除处理,由于MSE机制,其对boot*.exe文件需要20秒左右才能显示查杀完成,期间将占用绝大部分的CPU资源,但是被查杀的文件实际上并没有被成功删除,而是仍然残留在系统中,并且系统目录下的病毒无法进行控制。
入侵环境:
1. 安装有MySQL 5.1.30以上的版本,包括最新的MySQL 5.5.x版本,目前还未修复
2. MySQL服务的端口设定在TCP 3306
3. 3306端口暴露在广域网下,或者暴露在含有病毒的局域网下,包括DMZ主机
4. MySQL的root账号密码属于可暴力破解范围之内
满足以上4个条件的MySQL服务均可能感染此后门,然而大部分测试使用的MySQL服务器都是满足以上4个条件的。
阻止入侵的临时解决方案:
1. 转移MySQL的服务端口,将TCP 3306封闭;
2. 将TCP 3306端口设定防火墙规则,不允许暴露在本机网络之外,当然这将会导致remote access权限的无效化;
3. 更改root账户密码,使其密码复杂度超出暴力破解范围之外,比如不是任何一个英文单词,或者存在混合字符。
清除计算机内部残留的后门程序:
1. 根据amd.dll释放路径,进入各释放目录进行手动删除,前提是一定要先阻止入侵。
2. 断掉网络或阻止入侵,使用后门专杀进行全盘扫描。
从目前分析来看,此后门非注入式后门程序,比较容易手动排除,但是这个后门确实让人有种想要格式化的冲动。。。
分享到:
相关推荐
【标题】"lpk.dll usp10.dll 病毒专杀" 指向的是针对特定系统组件lpk.dll和usp10.dll的病毒清除工具或解决方案。这两个动态链接库(DLL)文件在Windows操作系统中扮演着关键角色,但有时可能会被恶意软件利用或感染...
amd.dll,111188.exe最近流行的服务器病毒,网上有很多经验性文章,但是经过一段时间的跟踪,发现网上的文章都不够彻底的解决问题,在这里把我的解决方法跟大家分享一下.
drv33260.dll drv43260.dll ffmpeg.exe mencoder.exe Pncrt.dll以及java程序drv33260.dll drv43260.dll ffmpeg.exe mencoder.exe Pncrt.dll以及java程序drv33260.dll drv43260.dll ffmpeg.exe mencoder.exe Pncrt....
标题中的"Fp4autl.dll"、"Fpencode.dll"和"Fp4awel.dll"是Microsoft Office 2007安装过程中涉及的动态链接库(DLL)文件,它们在系统中扮演着重要的角色。DLL文件是Windows操作系统中的一种共享库,用于存储程序执行...
VMware虚拟机报错,无法连接sigc-2.0.dll和libcurl.dll解决方案 VMware虚拟机版本:7.1.4 build-385536 问题描述:系统提示一个工具升级,确定,升级自动重装后,VMware打开出错。 解决方案: 网上下载替换VMware...
cygattr-1.dll cygbz2-1.dll cygform-10.dll cygformw-10.dll cyggcc_s-1.dll cyggmp-3.dll cyghistory7.dll cygicons-0.dll cygiconv-2.dll cygintl-8.dll cyglsa.dll cyglsa64.dll cyglzma-5.dll cygmagic-1.dll ...
jvm开启-XX:+UnlockDiagnosticVMOptions -XX:+PrintAssembly 需要hsdis-amd64.dll支持才能输出汇编代码,这是编译好的dll,用于windows64位,java9需要放到bin/server中,java8放到jre/bin/server
在IT行业中,尤其是在嵌入式系统、物联网(IoT)以及通信编程领域,"rxtxParallel.dll"和"rxtxSerial.dll"是两个非常关键的动态链接库文件。这两个插件主要用于处理并行(LPT)和串行(COM)端口通信,为开发者提供了...
rxtxSerial.dll主要用于串行端口通信,而rxtxParallel.dll则是为了并行端口通信。在Windows环境下,这些DLL文件作为本地系统调用来支持Java应用程序进行硬件交互,因为Java本身不直接支持这些低级别的硬件操作。 在...
Oracle.DataAccess.dll 是 Oracle 数据库与 .NET 应用程序交互的核心组件,它是 Oracle Data Provider for ...ODAC 和 ODP.NET 提供了完整的数据访问解决方案,让开发者能够高效、安全地处理 Oracle 数据库的各种任务。
解决方案: 第一步:找到Proteus安装目录MODELS文件夹,MODELS文件夹含有ADC083X.DLL文件; 第二步:将本资源提供的ADC083X.DLL文件复制粘贴替换第一步中的MODELS文件夹的ADC083X.DLL文件。 第三步:重启电脑
当你运行VC6.0的DEBUG程序时,突然弹出一个丢失MFC42D.DLL。 一般情况下是你的系统目录下确实以下三个文件。 MFC42D.DLL MFCO42D.DLL MSVCRTD.DLL 本压缩包包含完整的3个DLL文件,均从VC6.0下复制的,没有任何改动。...
解决:Could not load hsdis-amd64.dll; library not loadable; PrintAssembly is disabled 问题.下载对应版本解压得到dll,保存到jdk目录下\jre\bin\server就可以了
解决部分 应用程序无法正常启动0xc000007b问题,包含d3dx9_39.dll、d3dx9_40.dll、d3dx9_41.dll、d3dx9_42.dll、d3dx9_43.dll、xinput1_3.dll,
压缩包中的“OPCDAAuto64位解决方案”可能包含详细的步骤、修复工具或已修复的DLL文件。解压并按照其中的指南进行操作,通常可以解决这个问题。但请注意,修改系统文件和注册表总是存在风险,因此在操作前最好备份...
标题中的"msvcr80d.dll"、"msvcp80d.dll"和"mfc80d.dll"是微软Visual C++ 2005(版本8.0)的动态链接库(DLL)文件,它们在Windows操作系统中扮演着重要的角色。这些DLL文件是开发过程中用于调试的动态库,其中的"D...
在提供的压缩包中,有两个重要的DLL文件:sigar-amd64-winnt.dll和sigar-x86-winnt.dll。这两个文件是Sigar库在Windows操作系统上的实现,分别对应于64位(amd64)和32位(x86)架构。在64位系统上,通常需要使用...
lpk.dll,usp10.dll感染病毒专杀工具
此外,由于这种直接端口访问可能被反病毒软件误报为恶意行为,所以在实际应用中需要考虑兼容性和安全性问题。 5. **替代方案**:虽然`inpout32.dll`简单易用,但并非唯一选择。`WinIo.dll`也是另一种常用的端口访问...
用户可以通过下载最新的OpenSSL发行版,将`libeay32.dll` 和 `ssleay32.dll` 放入系统目录(如`C:\Windows\System32`)或者应用程序的本地目录来解决这个问题。同时,为了保持系统的安全性,应及时更新这些库以获取...