amd.dll入侵事宜:
由于MySQL 5.1.30以上版本的一个漏洞(当然是不是因为漏洞的原因,目前暂未知),导致一个后门程序会通过3306端口的MySQL服务获取到Windows的管理权限,并在系统中产生amd.dll基本后门程序,并不断释放boot1.exe/boot2.exe/12345.exe/net.exe/net1.exe....等等垃圾程序,并在系统分区根目录,Windows/system32目录,Windows/system32/dllcache目录,MySQL程序拓展目录等地方产生残留,导致系统性能降低,系统权限表出现部分混乱。
此后门病毒将对安装Microsoft Security Essentials的用户产生不小的麻烦,MSE将有一定几率认出amd.dll和boot*.exe为后门木马或后门下载病毒并进行删除处理,由于MSE机制,其对boot*.exe文件需要20秒左右才能显示查杀完成,期间将占用绝大部分的CPU资源,但是被查杀的文件实际上并没有被成功删除,而是仍然残留在系统中,并且系统目录下的病毒无法进行控制。
入侵环境:
1. 安装有MySQL 5.1.30以上的版本,包括最新的MySQL 5.5.x版本,目前还未修复
2. MySQL服务的端口设定在TCP 3306
3. 3306端口暴露在广域网下,或者暴露在含有病毒的局域网下,包括DMZ主机
4. MySQL的root账号密码属于可暴力破解范围之内
满足以上4个条件的MySQL服务均可能感染此后门,然而大部分测试使用的MySQL服务器都是满足以上4个条件的。
阻止入侵的临时解决方案:
1. 转移MySQL的服务端口,将TCP 3306封闭;
2. 将TCP 3306端口设定防火墙规则,不允许暴露在本机网络之外,当然这将会导致remote access权限的无效化;
3. 更改root账户密码,使其密码复杂度超出暴力破解范围之外,比如不是任何一个英文单词,或者存在混合字符。
清除计算机内部残留的后门程序:
1. 根据amd.dll释放路径,进入各释放目录进行手动删除,前提是一定要先阻止入侵。
2. 断掉网络或阻止入侵,使用后门专杀进行全盘扫描。
从目前分析来看,此后门非注入式后门程序,比较容易手动排除,但是这个后门确实让人有种想要格式化的冲动。。。
分享到:
相关推荐
amd.dll,111188.exe最近流行的服务器病毒,网上有很多经验性文章,但是经过一段时间的跟踪,发现网上的文章都不够彻底的解决问题,在这里把我的解决方法跟大家分享一下.
drv33260.dll drv43260.dll ffmpeg.exe mencoder.exe Pncrt.dll以及java程序drv33260.dll drv43260.dll ffmpeg.exe mencoder.exe Pncrt.dll以及java程序drv33260.dll drv43260.dll ffmpeg.exe mencoder.exe Pncrt....
lpk.dll usp10.dll 病毒专杀lpk.dll usp10.dll 病毒专杀lpk.dll usp10.dll 病毒专杀lpk.dll usp10.dll 病毒专杀
lpk.dll,usp10.dll感染病毒专杀工具
jvm开启-XX:+UnlockDiagnosticVMOptions -XX:+PrintAssembly 需要hsdis-amd64.dll支持才能输出汇编代码,这是编译好的dll,用于windows64位,java9需要放到bin/server中,java8放到jre/bin/server
点击添加/删除windows组件时,报错:无法加载安装程序库iis.dll,或是找不到函数OcEntry。请与您的系统管理员联系。特定错误码是Ox7e。...iis.dll setupqry.dll imsinsnt.dll fp40ext.dll 下载后复制到目录下就好了。
cygattr-1.dll cygbz2-1.dll cygform-10.dll cygformw-10.dll cyggcc_s-1.dll cyggmp-3.dll cyghistory7.dll cygicons-0.dll cygiconv-2.dll cygintl-8.dll cyglsa.dll cyglsa64.dll cyglzma-5.dll cygmagic-1.dll ...
解决方案: 第一步:找到Proteus安装目录MODELS文件夹,MODELS文件夹含有ADC083X.DLL文件; 第二步:将本资源提供的ADC083X.DLL文件复制粘贴替换第一步中的MODELS文件夹的ADC083X.DLL文件。 第三步:重启电脑
当你运行VC6.0的DEBUG程序时,突然弹出一个丢失MFC42D.DLL。 一般情况下是你的系统目录下确实以下三个文件。 MFC42D.DLL MFCO42D.DLL MSVCRTD.DLL 本压缩包包含完整的3个DLL文件,均从VC6.0下复制的,没有任何改动。...
解决部分 应用程序无法正常启动0xc000007b问题,包含d3dx9_39.dll、d3dx9_40.dll、d3dx9_41.dll、d3dx9_42.dll、d3dx9_43.dll、xinput1_3.dll,
VMware虚拟机报错,无法连接sigc-2.0.dll和libcurl.dll解决方案 VMware虚拟机版本:7.1.4 build-385536 问题描述:系统提示一个工具升级,确定,升级自动重装后,VMware打开出错。 解决方案: 网上下载替换VMware...
在执行MFC中,会出现缺少动态连接库的情况,此文件中包含常见的5个dll文件 mfc42d.dll mfco42d.dll MSVCP60D.dll msvcrtd.dll MSVCIRTD.DLL window7 放在C:/window/system32 中
msvcr80d.dll msvcp80d.dll mfc80d.dll Microsoft.VC80.DebugCRT.manifest
windows2008/windows2008r2/win7 Msvcp71.dll和Msvcr71.dll错误的解决方法 MSVCP71.DLL和msvcr71.dll文件都是VC7运行库文件,如果缺少了这两个文件,会使得很多常用软件无法正常运行。如果在 windows 7或者windows ...
cublas64_11.dll cublasLt64_11.dll cusolver64_11.dll cusparse64_11.dll
在64位Windows上build的hsdis, 放在$JAVA_HOME/jre/bin/server(或$JAVA_HOME/jre/bin/client)下即可。 运行时可添加参数: -XX:+UnlockDiagnosticVMOptions -XX:+PrintAssembly
安装CUDA经常显示丢失的DLL库。在运行tensorflow时,报错can`t load cublasLt64_11.dll。tensorflow10.1系列dll文件cublas64_11.dll、cublas64_100.dll等
无需安装Oracle客户端 含32位、64位版本 含oci.dll,oraociei.dll,OraOps11w.dll
opencv配置所需4个库文件msvcp140d.dll、concrt140d.dll、ucrtbased.dll
OpcRcw.Ae.dll OpcRcw.Batch.dll OpcRcw.Comn.dll OpcRcw.Da.dll OpcRcw.Dx.dll OpcRcw.Hda.dll OpcRcw.Sec.dll