什么是WannaMine4.0
此病毒变种,是基于WannaMine3.0改造,又加入了一些新的免杀技术,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散),故将其命名WannaMine4.0。
二、感染现象
2.1、存在目录
C:WindowsNetworkDistribution
2.2、存在文件
C:WindowsSystem32dllhostex.exe
C:WindowsSysWOW64dllhostex.exe
C:WindowsSystem32或C:WindowsSysWOW64目录下存在排列组合的DLL文件
(Windows|Microsoft|Network|Remote|Function|Secure|Application)
(Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP)
(Service|Host|Client|Event|Manager|Helper|System)
例如:
C:WindowsSystem32WindowsRPCSystem.dll
C:WindowsSysWOW64RemoteUpdateManager.dll
2.3、手动处置
1、结束组合名的服务对应的进程(使用ProcessHacker找到组合名的服务,右键跳转到对应的进程,结束进程)
2、结束进程dllhostex.exe
3、删除组合名的服务以及服务对应的dll文件
4、删除下列目录和文件
C:WindowsNetworkDistribution
C:WindowsSystem32dllhostex.exe
C:WindowsSysWOW64dllhostex.exe
三、举例
(1)使用process hacker在网络连接中查看有对445端口的扫描,主要是对内网445端口的扫描;
(2)查找到对应进程为svchost.exe,发现相关联进程有dllhostex.exe,符合WannaMine4.0特征,通过威胁情报工具VirusTotal确定为恶意文件;
(4)根据WannaMine4.0特点,服务中会有拼接服务,找到下图服务:
(5)根据WannaMine4.0的攻击特征,spoolsv对局域网进行445端口扫描,确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程序svchost.exe和spoolsv.exe,在病毒主机上找到“spoolsv”,确认该病毒为WannaMine4.0;
(6)使用autoruns删除挖矿病毒主体服务dllhostex.exe和ApplicationRPCEvent.dll恶意文件;
(7)使用autoruns删除启动任务
原文始发于微信公众号(菜鸟小新):病毒WannaMine4.0
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论