WannaMiner 挖矿木马手工检测笔记

admin 2022年5月17日04:03:43评论116 views字数 521阅读1分44秒阅读模式

发现可疑进程:

外部扫描:

该木马通常会开启65531-65533 端口

nmap -p65531-65533 --open -oG d:\result1.txt 10.230.12.1/16

过滤出受影响IP:
grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" 230-result1.txt

2019-07-29-02-00-07

恶意端口对应进程:
WannaMiner 挖矿木马手工检测笔记
恶意进程对应服务:
WannaMiner 挖矿木马手工检测笔记
对应服务名:snmpstorsrv

恶意服务详情
2019-07-29-02-02-05

服务加载模块

WannaMiner 挖矿木马手工检测笔记
加载dll:snmpstorsrv.dll

加载恶意模块位置

WannaMiner 挖矿木马手工检测笔记
dll位置:C:\Windows\system32\snmpstorsrv.dll

dll模块对应的md5

2019-07-29-02-04-42

MD5:42A12DE5A2B8CFF827407877DBD66B16
WannaMiner 挖矿木马手工检测笔记
360威胁情报查看确实有相应的威胁情报信息,并有相关安全报道

查看文件创建日期
Get-Item C:\Windows\system32\snmpstorsrv.dll

2009/7/14 9:39 修改过文件时间不准确

WannaMiner 挖矿木马手工检测笔记
导出注册表查看服务创建日期
服务创建日期:2018/11/16 - 18:17

WannaMiner 挖矿木马手工检测笔记
2019-07-29-02-06-51

更详细快捷的查杀建议使用pchunter 火绒剑 auturuns等安全工具

FROM :WOLVEZ'S BLOG| Author:wolve

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月17日04:03:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WannaMiner 挖矿木马手工检测笔记http://cn-sec.com/archives/1012499.html

发表评论

匿名网友 填写信息