记一次手工清除挖矿病毒WannaMine V4.0的经历
[作者:byeyear 邮箱:byeyear@hotmail.com 转载请注明]
前两天公司信息安全处通知我的计算机存在永恒之蓝漏洞并已被病毒感染,使用多方杀软及专杀工具均无法有效清除,遂设法进行手工清除。
在被感染计算机上进行分析,对比被感染计算机和未感染计算机系统目录内容,初步测试后可确定该病毒较为明显的特征如下:
在Windows目录下建立文件夹NetworkDistribution,该目录下存放的是进行感染所需的文件,感染完成后不再需要;
在Windows\system32目录下建立文件dllhostex.exe,随系统启动,删除后自动恢复,初步判断存在隐藏进程或伪装系统服务。
根据以上特征在网上搜索病毒信息,可知该病毒注册了系统服务,其作为服务运行的主文件名(dll文件)按如下规则构造:
第一字符串:Windows、Microsoft、Network、Remote、Function、Secure、Application
第二字符串:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
第三字符串:Service、Host、Client、Event、Manager、Helper、System
从以上三组字符串中随机各取其一组合成最终文件名。例如WindowsUpdateService.dll、MicrosoftNetBIOSEvent.dll等。
根据以上信息,制定并执行如下清除步骤:、
0. 断开网络连接
1. 进入安全模式
2. 删除NetworkDistribution文件夹
3. 删除dllhostex.exe文件
4. 建立一个空NetworkDistribution文件夹,并将所有权限设置为“拒绝”;
5. 建立一个空dllhostex.exe文件,并将所有权限设置为“拒绝”;
6. 使用Everything文件名搜索工具,按如下正则表达式搜索符合条件的文件名:
(Windows|Microsoft|Network|Remote|Function|Secure|Application)(Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP)(Service|Host|Client|Event|Manager|Helper|System)
7. 删除符合搜索条件的文件;
8. 根据上述文件,删除注册表中对应服务键;
9. 防火墙禁止如下端口:137-139,445
经过以上处理后,公司信息安全处未再监测到我计算机上的异常活动。可能还存在病毒残余,随它去了。
教训:及时更新补丁;关闭易引发问题的端口。
作者简介:长江中下游地区十八线小县城创业板民营企业大叔年龄技术员一枚,工作与研究方向为计算机接口技术、数字信号处理、嵌入式系统等。
相关文章
- Java实现 LeetCode 137 只出现一次的数字
- 记一次非常危险的现网问题
- MyBatis一次执行多条SQL语句
- 一次在工作组的内网里渗透到第三层内网【从 0 到 1 打穿所有内网机器】
- LeetCode-121. 买卖股票的最佳时机【单调栈,一次遍历】==注意暴力解法会超时。==
- Leetcode 面试题 01.05. 一次编辑(medium)
- React Native——一次学习,随处编写
- 【异常】记一次因商品名称含特殊字符导致的签名异常
- 纯干货,蓝桥杯单片机组赛前最后一次复习!!!
- Leetcode 1974. 使用特殊打字机键入单词的最少时间(可以,一次过)
- Leetcode 2299. 强密码检验器 II(可以,一次过)
- 记一次缓存服务器迁移史,心塞!
- while 每秒执行一次
- 个人随记 —— 记录一次服务链接泄露路程