前两天公司信息安全处通知我的计算机存在永恒之蓝漏洞并已被病毒感染,使用多方杀软及专杀工具均无法有效清除,遂设法进行手工清除。
在被感染计算机上进行分析,对比被感染计算机和未感染计算机系统目录内容,初步测试后可确定该病毒较为明显的特征如下:
在Windows目录下建立文件夹Networkdistribution,该目录下存放的是进行感染所需的文件,感染完成后不再需要;
在Windows\system32目录下建立文件dllhostex.exe,随系统启动,删除后自动恢复,初步判断存在隐藏进程或伪装系统服务。
根据以上特征在网上搜索病毒信息,可知该病毒注册了系统服务,其作为服务运行的主文件名(dll文件)按如下规则构造:
第一字符串:Windows、Microsoft、Network、Remote、Function、Secure、Application
第二字符串:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
第三字符串:Service、Host、Client、Event、Manager、Helper、System
从以上三组字符串中随机各取其一组合成最终文件名。例如WindowsUpdateService.dll、MicrosoftNetBIOSEvent.dll等。
根据以上信息,制定并执行如下清除步骤:、
0. 断开网络连接
1. 进入安全模式
4. 建立一个空Networkdistribution文件夹,并将所有权限设置为“拒绝”;
5. 建立一个空dllhostex.exe文件,并将所有权限设置为“拒绝”;
6. 使用Everything文件名搜索工具,按如下正则表达式搜索符合条件的文件名:
(Windows|Microsoft|Network|Remote|Function|Secure|Application)(Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP)(Service|Host|Client|Event|Manager|Helper|System)
9. 防火墙禁止如下端口:137-139,445
经过以上处理后,公司信息安全处未再监测到我计算机上的异常活动。可能还存在病毒残余,随它去了。
教训:及时更新补丁;关闭易引发问题的端口。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。