WannaMine挖矿木马手工处理-NetworkDistribution
WannaMine挖矿木马手工处理
一、写一下WannaMine2.0到4.0的手工处理操作。
WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后,仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。
WannaMine 全系使用“永恒之蓝”漏洞,在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。
WannaMine2.0版本
该版本释放文件参考如下:
C:\Windows\SpeechsTracing\Microsoft\
C:\Windows\system32\wmassrv.dll
C:\Windows\system32\HalPluginsServices.dll
C:\Windows\System32\EnrollCertXaml.dll
删除系统服务名与DLL文件对应的wmassrv
WannaMine3.0版本
该版本释放文件参考如下:
C:\Windows\System32\MarsTraceDiagnostics.xml
C:\Windows\AppDiagnostics\
C:\Windows\System32\TrustedHostex.exe
C:\Windows\System32\snmpstorsrv.dll需删除主服务snmpstorsrv与UPnPHostServices计划任务
WannaMine4.0版本
该版本释放文件参考如下:
C:\Windows\System32\rdpkax.xsl
C:\Windows\System32\dllhostex.exe
C:\Windows\System32\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\dllhostex.exe
C:\Windows\NetworkDistribution
病毒母体是一个install.exe程序,其在运行的过程中仅仅是释放文件,包含一个rdpxxx.xxx格式的文件和xxxxxx.dll格式的文件在C:\Windows\system32\目录下,同时会获取svchost.exe的文件创建时间,并修改。rdpxxx.xxx格式的文件和xxxxxx.dll格式的文件,都是根据解密字符串随机拼接生成文件名。系统服务名同dll文件名。
文件名随机组合参考
• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application
•第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
•第三部分:Service、Host、Client、Event、Manager、Helper、System
•rdp压缩文件随机字符串后缀:xml、log、dat、xsl、ini、tlb、msc
关于Windows下计划任务与启动项查看方式,建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下,可以到注册表下查看。
注册表下排查可疑的计划任务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree
发现可疑项可至tasks下查看对应ID的Actions值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\tasks
计划任务文件物理目录
C:\Windows\System32\Tasks\Microsoft\Windows
新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击,Autoruns可以用来检查WMI与启动项并进行删除,在手动删除病毒相关计划任务与启动项时,记得删除相应的文件与注册表ID对应项。
注册表下查看开机启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或runOnce
WannaMine挖矿木马手工处理-NetworkDistribution相关推荐
- 挖矿木马的战略战术分析
前言 比特币等虚拟货币在2019年迎来了久违的大幅上涨,从最低3000美元上涨至7月份的14000美元,涨幅达300%,巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列.阿里云安全团队通过对云上僵 ...
- 网络安全之认识挖矿木马
一.什么是挖矿木马? 比特币是以区块链技术为基础的虚拟加密货币,比特币具有匿名性和难以追踪的特点,经过十余年的发展,已成为网络黑产最爱使用的交易媒介.大多数勒索病毒在加密受害者数据后,会勒索代价高昂的 ...
- 针对挖矿木马的一些基本认识
目录 区块链 什么是挖矿 为啥要挖矿 什么是矿池 什么是挖矿钱包 怎么发现和预防 区块链 区块链是一种分布式的数据库,区块链中每一个区块可以用来记录多笔交易数据(如比特币的交易数据,A->B转账 ...
- 2019年上半年挖矿木马报告:日均新增6万个木马样本
一.概述 比特币在经历了2018年大幅下跌之后,在2019年上半年又重新恢复上涨,在6月底达到13000美元/BTC,接近历史最高水平17000美元/BTC. 随着比特币的飙升,推动整个数字加密货币价 ...
- 病毒分析之“驱动人生”挖矿木马分析及其清除方案
"驱动人生"挖矿木马分析及其清除方案 0x00 概述 自2018年12月份"驱动人生"挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次.此木 ...
- 云服务器ECS挖矿木马病毒处理和解决方案
云服务器ECS挖矿木马病毒处理和解决方案 参考文章: (1)云服务器ECS挖矿木马病毒处理和解决方案 (2)https://www.cnblogs.com/owenma/p/10430599.html ...
- 第七十六期:糟糕!服务器被植入挖矿木马,CPU飙升200%
某日,正在午休中,突然一则噩耗从前线传来:网站不能访问了! 作者:我叫刘半仙 某日,正在午休中,突然一则噩耗从前线传来:网站不能访问了! 图片来自 Pexels 此项目是我负责,线上服务器用的是某讯云 ...
- net start mysql 服务名无效_记一次服务器被植入挖矿木马cpu飙升200%解决过程
来自:开源中国,作者:我叫刘半仙 链接:https://my.oschina.net/liughDevelop/blog/1786631 " 某日,正在午休中,突然一则噩耗从前线传来:网站 ...
- 记录清理服务器挖矿木马warmup的命令
记录清理服务器挖矿木马warmup的命令 warmup 的 CPU占用率很高 清理命令: systemctl stop warmup systemctl disable warmup systemct ...
最新文章
- NBT:未培养病毒基因组的最少信息标准(MIUViG)
- Input类,Vector3实例
- 把握linux内核设计思想(十二):内存管理之slab分配器
- APL平台对C++开发者的价值和作用
- 是否非要用interface关键字来实现接口?
- 为什么要实施服务器虚拟化
- python 数据结构与算法
- 第二章 this全面解析
- 书籍-Java性能调优指南
- linux内存查看命令
- spearman相关系数 matlab,数学建模——相关系数(4)——斯皮尔曼相关系数(spearman)...
- 万网如何修改dns服务器,万网域名如何修改DNS设置方法
- QQ号被盗有什么方法能找回
- 点阵、基元和晶体结构之间的关系
- 将Excel表格中的文本格式存储的数字批量转换为数字
- Oracle ERP 仓库(inventory) 词汇1
- 微习惯--简单到四个
- CSS3垂直水平的居中的几种方法
- VMware 虚拟网卡防火墙问题
- 【八步拿捏】Aaqus有限元分析及减震复材建模计算/力学分析等多个SCI案例复现(附源码解析)...