翻滚吧！病毒君

年后复工，MSF给了我下发了新的打怪任务——给两台客户主机进行病毒的查杀（相关主机已被客户做了简单的断网处理）于是年后第一场外出务工之旅就这样开始了。

由于以前只是使用MSF攻击模块中的MS17-010打过靶机，至于怎么进行主机病毒查杀工作就没有深究了。所以这次项目后，我感觉公司的安全理念（以攻促防）在我的身上就成了一个笑话。

首先对第一台主机的病毒开始查杀，还是按照Windows应急响应手册那一套来的，把账户（正常）、进程（感觉正常）、注册表（正常）、端口（没毛病啊）、计划任务（没有）和日志信息（有异常登录）等等都挨个查了一遍，感觉也妹有找到啥恶意文件的线索啊。

由于客户已经对主机做了断网处理，所以在网络连接里也找不到病毒的扫描活动。且自己还挺菜的（对病毒攻击流程不熟悉），所以也没有找到那些奇奇怪怪的恶意文件。

这就是最恐怖的地方了，上面告诉你我的机器出问题了，你却排查不出来问题所在，我就问你流不流汗。

最后只能上安全软件进行病毒查杀了，可是作为文件服务器的主机系统版本有点上年龄了，装来装去hr，xxx安全卫士，xxx斯基，x盾里只有卫士和盾能装上去，其它的都不兼容当前的系统版本。且X盾啥也扫不出来，只能慢慢等待xxx卫士龟速一样的去扫描（一直扫到了下班都没有结果😡）。

第二天起个大早上班去看看龟速卫士给我扫描出的结果，看到的第一眼：好家伙，搁着养蛊呢？

等我冷静下来分析了一下才发现这么多文件都在同一个文件夹下：NetworkDistribution，里面有永恒之蓝、永恒冠军等漏洞利用工具，判断NetworkDistribution文件夹是一个工具模块。

其它病毒文件还有Mssecsvc.exe：释放自身中的资源文件到C:Windowstasksche.exe， tasksche.exe本应该是勒索程序，但此变种的该程序在主流的windows操作系统上运行出错，从而没有进行勒索行为。

如果C:Windowstasksche.exe存在，mssecsvc.exe会将其更名为C:Windowsqeriuwjhrf。由于客户的主机不断感染此类病毒，所以tasksche.exe文件是和qeriuwjhrf同时存在的。

可以看到两个文件的HASH是一样的

哦吼！！！！！

感觉安全软件扫出的东西也挺多，想想它应该能轻松对它进行查杀，于是点击了一键处理。

可万万没想到，主机在杀完病毒重启系统后，病毒的工具模块（NetworkDistribution）在两个小时后再次出现在了Windows目录下（不讲武德）。

在后续对C://windows目录下的文件监控中发现有一个叫dllhostex.exe恶意程序在反复横跳。

dllhostex.exe它在嘲讽我！！！！！！！！

根据其提示的路径去相关目录下寻找该文件，结果是没找到（应该是反复横挑的速度太快了，导致文件夹下没有）。但是可以猜到这不是什么正常程序（事实证明的确是这样），一定还有什么进程或服务在不断加载dllhostex.exe。

既然程序名字有点特别，我还是浏览器找一下吧

搜索结果说它是一个挖矿病毒外，对我没有任何价值，剩下的结果都是力推自家杀毒（我要是能安装我还在这排查？），能安装的就两个：X盾比较la，离线状态的XXX卫士也效果一般。

到底是啥还没杀掉才导致反复中毒啊，你在哪啊？！！！！！

黔驴技穷了，询问了公司大佬，大佬给了我三段字符串，让我自己去找找，说是C://Windows/目录下有个文件名是由下面的字符串随机生成的。

1.Windows|Microsoft|Network|Remote|Function|Secure|Application2.Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP3.Service|Host|Client|Event|Manager|Helper|System

于是我着重在C://windows/目录中寻找存在以上线索的.exe和.dll文件，眼睛都给我看花了（客户电脑屏幕分辨率不太行，文件还多）

最终我在C://Windows/system32下找到了这个👇：

Down下来扔进沙箱一看，好家伙，破案了，就是它！！！

于是我找到它的服务，将它停止掉，再把这个文件删除。之前删除过的工具模块不是又恢复了么，这次再删一遍。

一直到下班，也没有见病毒再次出现，哈哈哈哈哈哈！！！！

接下来一个主机的病毒查杀就相对轻松许多，因为中的病毒都一样。排查过程中仅有的区别就是在文件监控下没有找到dllhostex.exe的创建和删除记录，它反而出现在了进程里。

相应的也能在C://Windows/system32目录下寻找到dllhostex.exe文件，且能被安全软件成功查杀。

还有就是第二台主机C://Windows/system32目录下的文件名不再是RemoteSSDPEvent.dll了，而是MicorsoftNetBIOSSystem.dll。

👆可以看到，主程序不但伪造了微软公司的签名，还伪造了最后修改日期，要是按照被攻击日期去排查相关文件，累死也找不到。

查杀过程与第一台主机类似：

1、先是停止C://Windows/system32下MicorsoftNetBIOSSystem.dll文件对应的服务，删除该文件

2、再停止svchost.exe主进程下的dllhostex.exe子进程，删除dllhostex.exe文件

3、再停止svchost.exe主进程，删除XXX卫士识别出来的病毒文件

4、重启主机系统，观察主机后续的状况

完美！！！！！！！！至此两台主机的病毒查杀过程就这样结束了，收工下班，又是晚归的一天。

总结：

仔细回顾了一下整个分析过程，判断病毒的攻击方式如下：

RemoteSSDPEvent.dll/MicorsoftNetBIOSSystem.dll应该是一个病毒的主模块，它对应一个主服务（由系统进程svchost.exe加载），确保每次都能开机自启，启动后会将dllhostex.exe挖矿程序注入到该svchost.exe主进程中。

至于攻击程序怎么启动的？扫描是怎么进行的，推断是RemoteSSDPEvent.dll/MicorsoftNetBIOSSystem.dll调用了工具文件夹NetworkDistribution中的工具从而发起了扫描和漏洞攻击。

后续查资料发现是调用了spoolsv.exe，当spoolsv.exe通过扫描445确定好可以攻击的主机后，就会在C:WindowsNetworkDistribution 目录下释放病毒的漏洞攻击程序，同时启动svchost.exe 和 spoolsv.exe (均为伪装成正常文件名的病毒脚本)。

此时 svchost.exe 会对收集到可进行攻击的目标主机执行 永恒之蓝(MS17-010) 漏洞进行攻击，成功后 spoolsv.exe 会对主机安装后门，加载 payload 文件 (x86.dll / x64.dll)

真是吃了不会逆向的亏，只能用沙箱一个文件一个文件的硬分析。

啥也不是，散会…………

原文始发于微信公众号（雁行安全团队）：翻滚吧！病毒君