CPU利用率百分之百（TiWorker.exe实锤病毒篇）

简介

  家人们有没有遇到自己电脑还可以，但是CPU经常蹦到百分之百？耐心看完本文，有可能你在给国外的黑客算比特币！不想看文字的可以看视频，链接: link

现象

  明明啥也没跑，明明我的电脑硬件还可以，明明装了火绒杀毒，但是时不时的电脑CPU温度很高，打开任务管理器温度又嗖的降下来了。

上工具 A

  参考我之前关于wpa的教程链接: link，你也可以自己定位下。我这里直接上截图，注意看，排名第一的进程是TiWorker.exe，占了我cpu负载的百分之38，在横轴160的位置突然暴跌，赶超11月10日的歌尔股价。

  网上搜，一堆小白就误人子弟，说“这是正常的，微软更新程序，不用管，一段时间就好了。。。。”。我通过PE盘把这个文件拷贝出来，查看签名信息，是空的！一般微软的程序都是有微软的签名的。预感到怕是个病毒！下图这个是正常的，病毒文件是没有这个签名的。

上工具 B

  使用tcpview锁定程序的ip+端口号，使用wireshark截取数据帧。直接把报文抓到,Json串感兴趣的可以研究下，大致就是按指定算法，算了个值，回传给服务器。
宿主机发送：

服务响应：

> 下面的信息是直接whois命令获取到的，搜一下就知道是欧洲一个云服务公司的IP。
> Whois

   Domain Name: MIVOCLOUD.COM
   Registry Domain ID: 1908678101_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.name.com
   Registrar URL: http://www.name.com
   Updated Date: 2022-03-04T09:29:37Z
   Creation Date: 2015-03-09T19:09:18Z
   Registry Expiry Date: 2024-03-09T19:09:18Z
   Registrar: Name.com, Inc.
   Registrar IANA ID: 625
   Registrar Abuse Contact Email: abuse@name.com
   Registrar Abuse Contact Phone: 7202492374
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Name Server: JEREMY.NS.CLOUDFLARE.COM
   Name Server: VAL.NS.CLOUDFLARE.COM
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/



1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

解决方案

  PE系统下删除病毒，给国家病毒中心发邮件等等解决方法都尝试了，都没有解决。最后还得是病毒头子”360安全卫士“！泪目！！！