IT外包问：登录服务器看下进程会发现有好多mscl的进程，把CPU都冲到100%什么原因？

 

1答：首先可以肯定这个程序并非系统原有文件，长时间占用cpu肯定有问题，基本断定是病毒或木马。建议全盘查找，包括注册表内关键字，全部删除。

 

 

 

2答：是一个mc-serv生成的病毒文件，

 

风险简述 高危

安装windows自启动项

运行信息 Windows XP SP3 + PDF11

可疑行为特征

[-]安装windows自启动项(1)

[-]file

"C:\\WINDOWS\\win.ini"

进程树

 

    48a1dc49a7e650f2fda6407eb48aae1cf11c107ef2f7b6b58e3f259536f202d8.exe

 

文件释放

[+]libeay32.dll

[+]zlib1.dll

[+]libwinpthread-1.dll

[+]mscl.exe

[+]ssleay32.dll

[+]libcurl-4.dll

[+]__tmp_rar_sfx_access_check_35958766

行为细节

[-]48a1dc49a7e650f2fda6407eb48aae1cf11c107ef2f7b6b58e3f259536f202d8.exe(当前进程号:1984，父进程号:1060)(1630)

[+]系统函数调用

[+]进程函数调用

[+]注册表函数调用

[+]文件函数调用

[+]其它函数调用