WannaMine挖矿木马手工处理
一、写一下WannaMine2.0到4.0的手工处理操作。
WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后,仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。
WannaMine 全系使用“永恒之蓝”漏洞,在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。
WannaMine2.0版本
该版本释放文件参考如下:
C:\Windows\SpeechsTracing\Microsoft\
C:\Windows\system32\wmassrv.dll
C:\Windows\system32\HalPluginsServices.dll
C:\Windows\System32\EnrollCertXaml.dll
删除系统服务名与DLL文件对应的wmassrv
WannaMine3.0版本
该版本释放文件参考如下:
C:\Windows\System32\MarsTraceDiagnostics.xml
C:\Windows\AppDiagnostics\
C:\Windows\System32\TrustedHostex.exe
C:\Windows\System32\snmpstorsrv.dll
需删除主服务snmpstorsrv与UPnPHostServices计划任务
WannaMine4.0版本
该版本释放文件参考如下:
C:\Windows\System32\rdpkax.xsl
C:\Windows\System32\dllhostex.exe
C:\Windows\System32\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\dllhostex.exe
C:\Windows\NetworkDistribution
病毒母体是一个install.exe程序,其在运行的过程中仅仅是释放文件,包含一个rdpxxx.xxx格式的文件和xxxxxx.dll格式的文件在C:\Windows\system32\目录下,同时会获取svchost.exe的文件创建时间,并修改。rdpxxx.xxx格式的文件和xxxxxx.dll格式的文件,都是根据解密字符串随机拼接生成文件名。系统服务名同dll文件名。
文件名随机组合参考
• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application
•第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
•第三部分:Service、Host、Client、Event、Manager、Helper、System
•rdp压缩文件随机字符串后缀:xml、log、dat、xsl、ini、tlb、msc
关于Windows下计划任务与启动项查看方式,建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下,可以到注册表下查看。
注册表下排查可疑的计划任务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree
发现可疑项可至tasks下查看对应ID的Actions值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\tasks
计划任务文件物理目录
C:\Windows\System32\Tasks\Microsoft\Windows
新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击,Autoruns可以用来检查WMI与启动项并进行删除,在手动删除病毒相关计划任务与启动项时,记得删除相应的文件与注册表ID对应项。
注册表下查看开机启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或runOnce