445,wancry病毒处理目录
转自Alyoyojie的https://blog.51cto.com/antivirusjo/2089077
整理来自:
(1)WannaMine来了?警惕“永恒之蓝”挖矿长期潜伏
http://www.freebuf.com/articles/network/164869.html
(2)NrsMiner:一个构造精密的挖矿僵尸网络
http://www.freebuf.com/articles/system/162874.html
(3)MsraMiner 被曝光后72小时内的更新
https://paper.tuisec.win/detail/aa6e84f6133184d
(4)MsraMiner: 潜伏已久的挖矿僵尸网络
http://blog.netlab.360.com/msraminer-qian-fu-yi-jiu-de-wa-kuang-jiang-shi-wang-luo/
(5)深信服报道
http://www.sangfor.com.cn/about/source-news-product-news/1034.html
(一)WannaMine
病毒文件:
hash/hash64:为32位/64位挖矿程序,会被重命名为TrueServiceHost.exe。
spoolsv/spoolsv64:为32位/64位***母体,会被重命名为spoolsv.exe。
srv/srv64:为32位/64位为主服务,***入口点,会被重命名为tpmagentservice.dll。
本文所述病毒文件,释放在下列文件目录中
C:\Windows\System32\MsraReportDataCache32.tlb
C:\Windows\SecureBootThemes\
C:\Windows\SecureBootThemes\Microsoft\
C:\Windows\SecureBootThemes\Crypt\
注册服务:srv。 主服务文件:tpmagentservice.dll
外网链接:
hxxp://acs.njaavfxcgk3.club:4431/f79e53
hxxp://rer.njaavfxcgk3.club:4433/a4c80e
hxxp://rer.njaavfxcgk3.club:4433/5b8c1d
hxxp://rer.njaavfxcgk3.club:4433/d0a01e
日志文件:stage1.txt。
日志文件:stage2.txt
DoublePulsar后门程序spoolsv.exe的配置文件:spoolsv.xml
挖矿地址:nicehash.com、minergate.com
@@@@@现场发现的实例:
“永恒之蓝”漏洞利用使用445端,SMB协议漏洞。一般而言,安装补丁后或者禁用445端口均可以对抗病毒的传播。
本次发现的病毒主要行为有:
(1) 病毒更新模块为:ProximityUntilCache32.tlb
(2) 病毒运行传播模块为:spoolsv.exe
(3) 病毒运行模块为:svchost.exe
各病毒文件及文件夹如图中所示:
C:\Windows\SecureBootThemes
C:\Windows\System32\ProximityUntilCache32.tlb
C:\Windows\System32\SecureBootThemes\spoolsv.exe
其中,我们将ProximityUntilCache32.tlb解压后可以看到包含的所有***文件。
处理过程:
(1) 断开网络
(2) 删除文件
C:\Windows\SecureBootThemes
C:\Windows\System32\ProximityUntilCache32.tlb
C:\Windows\System32\SecureBootThemes\spoolsv.exe
(3) 如果不能成功删除,打开任务管理器,
找到两个文件路径不在system32下边的spoolsv.exe和svchost.exe的两个进程,结束进程树。一定要注意路径,正常的系统也会有这两个进程。结束后,删除病毒文件。
(4) 安装ms17-010补丁
(5) 安装杀毒软件查杀病毒。
结语:目前没有发现挖矿模块的启动,以及病毒自启动的方式,需要进一步跟进。
(二)NrsMiner
病毒更新包文件:NrsDataCache.tlb(1)主控模块作为服务“Hyper-VAccess Protection Agent Service”,模块名:vmichapagentsrv.dll
该服务被加入netsvcs服务组中借助svchost.exe启动(找到注册表子健HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 并打开子健项netsvcs。netsvcs里面的值就是svchost的服务组netsvcs所启动的所有服务 )
(2)网络:vpp.jdi1diejs.club(打点)
dlr.noilwut0vv[.]club/d/msdownload/others/BtnProtocol.exe(模块更新)
log[.]oiwcvbnc2e.stream(模块更新)
hxxp://vpp.jdi1diejs.club/NrsDataCache.tlb
mg[.]jdi1diejs.club:45560(矿池)
(3)挖矿程序:hash,将其复制到system32或SysWOW64目录下命名为TaskSyncHost.exe并启动该程序进行挖矿。
(4)释放的WebServer绑定的端口为26397
存放NrsMiner组件的路径
路径
C:\Windows\IME
C:\windows\SysprepThemes
C:\windows\Sysnative
C:\windows\securebootthemes
永恒之蓝***文件夹:

(三)WannaMine2.0
5月21日更新(深信服发现的挖矿):
1.HalPluginsServices.dll是主服务,每次都能开机启动,启动后加载spoolsv.exe。2.spoolsv.exe对局域网进行 445 端口扫描,确定可***的内网主机。同时启动漏洞***程序svchost.exe和spoolsv.exe(另外一个病毒文件)。3.svchost.exe执行“永恒之蓝”漏洞溢出***(目的IP由第 2 步确认),成功后spoolsv.exe(NSA***工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。4.payload(x86.dll/x64.dll)执行后,负责将EnrollCertXaml.dll从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行***(每感染一台,都重复步骤1、2、3、4)。WannaMine 2. 0 变种包含的病毒文件,主要释放在下列文件目录中:C:\Windows\System32\HalPluginsServices.dllC:\Windows\System32\EnrollCertXaml.dllC:\Windows\SpeechsTracing\C:\Windows\SpeechsTracing\Microsoft\网络行为检测到WannaMine2. 0 的C&C服务器为:task.attendecr.comscan.attendecr.comerror.attendecr.com局域网传播上,仍然是沿用WannaMine的机制。通过spoolsv.exe和svchost.exe配合,利用永恒之蓝漏洞进行***,实现病毒自我复制到目标主机上。有别于WannaMine, 此次变种2. 0 删除了自更新机制,包括外网更新和局域网更新两个方面。另外,也不再创建微型Web服务端,供内网其它无法上网的主机下载更新。意味着感染主机不再做病毒更新。解决方案:
如果可以连网,直接打开系统的自动更新吧。。。。
(1)打补丁ms17-010
官方补丁:
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
个人补丁下载:
hxxp://www.fjedu.gov.cn/html/wsbs/xzzx/2017/05/14/275887f4-4d35-4e14-9ed1-e6bf230371fd.html
补丁号:
注:补丁如果打不上原因kennel是补丁依赖,即安装此次的补丁需要前一个补丁的支持。
(3)445端口封堵
防火墙禁用445端口
组策略445端口
禁用SMB服务
免疫工具:hxxp://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip
(4)安装杀毒软件查杀。
如何判定是否安装补丁
(1)控制面板-程序和功能-卸载程序-补丁更新
(2)cmd命令行-输入systeminfo
(3)win+R 输入regedit
依次展开,查看注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\Currentversion\hotfix
其它处理过程中使用的脚本
同事提供的处理脚本:
@echo off
echo Start...set Service2=vmichapagentsrv
set Service3=tpmagentservice
rem iolchxfz32.dat/svchost32.exe/spoolsv32.exe Rename C:\Windows\system32\IME\Crypt\(settings7283.dat/svchost.exe/spoolsv.exe)
set File1=1.txtnetstat -ano | findstr 445 | findstr spoolsv.exerem 1.x
rem dnsclientprovider_userdata.mof will be delete
rem set File1=dnsclientprovider_userdata.mofecho=
echo Checking Files...for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (if exist %%i:\ (for /f "delims=" %%j in ('dir /a-d /s /b "%%i:\*%File1%" 2^>nul') do (if /i "%%~nxj" equ "%File1%" (echo,%%j )))
)rd /s/q C:\Windows\system32\IME\Crypt\rem 2.x
echo=
echo Checking Process...
tasklist -v | findstr TrustedHostServices.exe
taskkill /im TrustedHostServices.exe /f
rd /s/q C:\Windows\system32\SecureBootThemes
del C:\Windows\system32\TrustedHostServices.exe
del C:\Windows\system32\SecUpdateHost.exe
del C:\Windows\system32\NetTraceDiagnostics.ini
del C:\Windows\system32\MsraReportDataCache32.tlbecho=
echo Checking Services...sc query |find /i "%Service2%" >nul 2>nul
if not ErrorLevel 1 ( echo "%Service2% exists!!!"
) rem 3.x
tasklist -v | findstr WUDHostServices.exe
taskkill /im WUDHostServices.exe /f
rd /s/q C:\Windows\system32\SecureBootThemes
del C:\Windows\system32\WUDHostServices.exe
del C:\Windows\system32\NetTraceDiagnostics.ini
del C:\Windows\system32\ProximityUntilCache32.tlbREG DELETE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ /v ServicesPixelsecho=
echo Checking Services...sc query |find /i "%Service3%" >nul 2>nul
if not ErrorLevel 1 ( echo "%Service3% exists!!!"
) echo=
echo Checking Finished!pause
exit我自己写的简单处理脚本:
for /f "tokens=2 " %%a in ('tasklist /fi "imagename eq WUDHostServices.exe" /nh') do taskkill /f /pid %%adel /F /S /Q C:\Windows\system32\NetTraceDiagnostics.inidel /F /S /Q C:\Windows\system32\WUDHostServices.exermdir /s /q C:\Windows\SecureBootThemesdel /F /S /Q C:\Windows\System32\ProximityUntilCache32.tlbdel /F /S /Q C:\Windows\System32\SecureBootThemes\spoolsv.exe
REG DELETE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ /v ServicesPixelspause推荐专栏更多
445,wancry病毒处理目录相关推荐
- 勒索病毒445端口关闭后目录文件共享解决方案Mobox
勒索病毒攻击的原理: "勒索病毒"此次事件有一个特征,在无需用户任何操作的情况下,勒索软件即可扫描开放445文件共享端口的Windows机器,植 入恶意程序,将电脑中的文 ...
- 445端口关闭后目录文件共享怎么办
勒索病毒攻击的原理: "勒索病毒"此次事件有一个特征,在无需用户任何操作的情况下,勒索软件即可扫描开放445文件共享端口的Windows机器,植 入恶意程序,将电脑中的文件 ...
- 企业安全-445端口关闭后目录文件共享怎么办
勒索病毒攻击的原理: "勒索病毒"此次事件有一个特征,在无需用户任何操作的情况下,勒索软件即可扫描开放445文件共享端口的Windows机器,植 入恶意程序,将电脑中的文 ...
- 某某客户的一次勒索病毒应急响应
Lockbit勒索病毒应急响应 背景 1.应急处理排查 2.勒索病毒来源分析 3.勒索病毒分析 4.勒索病毒解密 5.主机分析分析 6.后续安全加固和改进措施 结论 背景 美好的周六刚开始,眼睛一睁, ...
- 病毒木马防御与分析实战
<病毒木马防御与分析>系列以真实的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法,对其彻底查杀.当然,因为我个人水平的有限,查杀 ...
- 新近碰到的病毒(TR.Spy.Babonock.A)
先来段Microsoft的说明: Worm:Win32/Babonock.A Alert level: Severe Detected with Windows Defender Antivirus ...
- 电脑太慢了最简单的办法怎么弄_电脑感染病毒的10种症状及简单处理办法 电脑中病毒的症状介绍...
电脑已经成为我们生活的一部分,电脑给我们的生活带来了丰富多彩的事情,那么计算机中了病毒有什么症状呢?通常情况下,当计算中病毒后,在电脑操作者看来并无明显的特征,但是我们仍然可以通过一些细节问题来判断电 ...
- 拒绝病毒威胁 为U盘请个“保护神”
除了网络可以传播病毒外,其U盘等存储介质的病毒传播也不容忽视,可能大家都遇到当U盘插入到电脑时,杀毒软件就急不可待的弹出警告提示的异常状况.虽然杀软可以彻底将其清除干净,但是不保证以后U盘所携带的病毒 ...
- 网络上的计算机病毒怎么办,电脑中病毒了怎么办
电脑中病毒了怎么办 部分电脑病毒采用映像劫持技术,将常用的应用程序运行路径进行更改为病毒运行目录,从而当我们试图运行正常的程序时,其实是运行了病毒程序,导致电脑病毒的启动.下面是jy135小编收集整理 ...
最新文章
- react native 的底部导航栏以及跳转页面带参数
- Sigo全面适合交易新手以及专业交易者
- Docker镜像加速器配置
- Javascript非构造函数的继承
- TensorFlow实现Unet遥感图像分割
- Java消息中间件--JMS规范
- 学计算机河北科技华北理工,河北117所正规高校都在这儿!别被”野鸡大学“忽悠了!...
- python语言的变量特点随时_python程序设计——基本语言特性
- FIB常见应用明细及原理分析
- 宝塔面板怎么实名认证_宝塔面板安装和使用图文教程
- three.js物体移动以及相机的移动(位置以及旋转方位)
- 不是所有的大作业都叫微信抢票大作业
- 清华大学镜像站miniconda下载地址
- 【微信小程序】表单校验
- Amazon电商黑科技, 看黑五能否干过双十一?
- 最详细的Excel模块Openpyxl教程——基础操作
- java读取zip文件损坏_java – 如何检查生成的zip文件是否损坏?
- 飞鱼48小时游戏创作嘉年华_厦门Pitch Time总结与收获
- 手机学python_手机学python的app
- Minecraft开服器(Python编写)