微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

记一次手工清除挖矿病毒WannaMine V4.0的经历

前两天公司信息安全处通知我的计算机存在永恒之蓝漏洞并已被病毒感染,使用多方杀软及专杀工具均无法有效清除,遂设法进行手工清除。

在被感染计算机上进行分析,对比被感染计算机和未感染计算机系统目录内容,初步测试后可确定该病毒较为明显的特征如下:

在Windows目录下建立文件夹Networkdistribution,该目录下存放的是进行感染所需的文件,感染完成后不再需要;

在Windows\system32目录下建立文件dllhostex.exe,随系统启动,删除自动恢复,初步判断存在隐藏进程或伪装系统服务。

根据以上特征在网上搜索病毒信息,可知该病毒注册了系统服务,其作为服务运行的主文件名(dll文件)按如下规则构造:

第一字符串:Windows、Microsoft、Network、Remote、Function、Secure、Application

第二字符串:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP

第三字符串:Service、Host、Client、Event、Manager、Helper、System

从以上三组字符串中随机各取其一组合成最终文件名。例如WindowsUpdateService.dll、MicrosoftNetBIOSEvent.dll等。

 

根据以上信息,制定并执行如下清除步骤:、

0. 断开网络连接

1. 进入安全模式

2. 删除Networkdistribution文件

3. 删除dllhostex.exe文件

4. 建立一个空Networkdistribution文件夹,并将所有权限设置为“拒绝”;

5. 建立一个空dllhostex.exe文件,并将所有权限设置为“拒绝”;

6. 使用Everything文件搜索工具,按如下正则表达式搜索符合条件的文件名:

(Windows|Microsoft|Network|Remote|Function|Secure|Application)(Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP)(Service|Host|Client|Event|Manager|Helper|System)

7. 删除符合搜索条件的文件

8. 根据上述文件删除注册表中对应服务键;

9. 防火墙禁止如下端口:137-139,445

经过以上处理后,公司信息安全处未再监测到我计算机上的异常活动。可能还存在病毒残余,随它去了。

 

教训:及时更新补丁;关闭易引发问题的端口。

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐