WannaMiner 挖矿木马手工检测笔记

  • A+
所属分类:安全博客

发现可疑进程:

外部扫描:

该木马通常会开启65531-65533 端口

nmap -p65531-65533 --open -oG d:\result1.txt 10.230.12.1/16

过滤出受影响IP:
grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" 230-result1.txt

WannaMiner 挖矿木马手工检测笔记

恶意端口对应进程:
WannaMiner 挖矿木马手工检测笔记
恶意进程对应服务:
WannaMiner 挖矿木马手工检测笔记
对应服务名:snmpstorsrv

恶意服务详情
WannaMiner 挖矿木马手工检测笔记

服务加载模块

WannaMiner 挖矿木马手工检测笔记
加载dll:snmpstorsrv.dll

加载恶意模块位置

WannaMiner 挖矿木马手工检测笔记
dll位置:C:\Windows\system32\snmpstorsrv.dll

dll模块对应的md5

WannaMiner 挖矿木马手工检测笔记

MD5:42A12DE5A2B8CFF827407877DBD66B16
WannaMiner 挖矿木马手工检测笔记
360威胁情报查看确实有相应的威胁情报信息,并有相关安全报道

查看文件创建日期
Get-Item C:\Windows\system32\snmpstorsrv.dll

2009/7/14 9:39 修改过文件时间不准确

WannaMiner 挖矿木马手工检测笔记
导出注册表查看服务创建日期
服务创建日期:2018/11/16 - 18:17

WannaMiner 挖矿木马手工检测笔记
WannaMiner 挖矿木马手工检测笔记

更详细快捷的查杀建议使用pchunter 火绒剑 auturuns等安全工具

Source:wolvez.club | Author:wolvez

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: