永恒之蓝挖矿蠕虫WannaMine特征、行为分析及清除

背景介绍永恒之蓝是指2017年5月13日起,全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,不法分子通过改造之前泄露的NSA黑客武器库中"永恒之蓝"攻击程序发起的网络攻击事件.
英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件.

永恒之蓝挖矿蠕虫WannaMine就是利用永恒之蓝漏洞进行传播,与WannaCry勒索病毒不同的是,其不再勒索,而是长期潜伏挖矿,会悄悄的耗尽计算机资源.

病毒清除方法1.
修复漏洞,杜绝再次感染1.
1执行以下脚本禁用445及部分端口,杜绝被再次感染netshipsecstaticdeletepolicyname=SECCPPnetshipsecstaticaddpolicyname=SECCPPdescription=安全策略201705netshipsecstaticaddfilteractionname=Blockaction=blocknetshipsecstaticaddfilterlistname=SECCPFnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=135protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=137protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=138protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=139protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=445protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=137protocol=UDPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=138protocol=UDPnetshipsecstaticaddrulename=SECCPRpolicy=SECCPPfilterlist=SECCPFfilteraction=Blocknetshipsecstaticsetpolicyname=SECCPPassign=ypauseexit1.
2安装微软针对远程代码执行漏洞的补丁MS17-0102.
永恒之蓝wannacry勒索蠕虫相关进程及文件清除执行以下脚本进行清除:@echooff>nul2>&1"%SYSTEMROOT%\system32\cacls.
exe""%SYSTEMROOT%\system32\config\system"if'%errorlevel%'NEQ'0'(gotoUACPrompt)else(gotogotAdmin):UACPromptechoSetUAC=CreateObject^("Shell.
Application"^)>"%temp%\getadmin.
vbs"echoUAC.
ShellExecute"%~s0"runas",1>>"%temp%\getadmin.
vbs""%temp%\getadmin.
vbs"exit/B:gotAdminifexist"%temp%\getadmin.
vbs"(del"%temp%\getadmin.
vbs")cd/d"C:/Windows/"taskkill/immssecsvc.
exe/ftaskkill/imtasksche.
exe/fdelmssecsvc.
exe/qdelqeriuwjhrf/qdeltasksche.
exe/qtaskkill/immssecsvc.
exe/ftaskkill/imtasksche.
exe/fdelmssecsvc.
exe/qdelqeriuwjhrf/qdeltasksche.
exe/q3.
永恒之蓝WannaMine挖矿蠕虫相关进程及文件清除执行以下脚本进行清除:@echooff>nul2>&1"%SYSTEMROOT%\system32\cacls.
exe""%SYSTEMROOT%\system32\config\system"if'%errorlevel%'NEQ'0'(gotoUACPrompt)else(gotogotAdmin):UACPromptechoSetUAC=CreateObject^("Shell.
Application"^)>"%temp%\getadmin.
vbs"echoUAC.
ShellExecute"%~s0"runas",1>>"%temp%\getadmin.
vbs""%temp%\getadmin.
vbs"exit/B:gotAdminifexist"%temp%\getadmin.
vbs"(del"%temp%\getadmin.
vbs")scstopwmassrvscdeletewmassrvtaskkill/IMspoolsv.
exe/ftaskkill/IMrundll32.
exe/fwmicprocessgetProcessId,executablepath|findstr"C:\Windows\SpeechsTracing">1.
txtfor/f"delims="%%iin("1.
txt")do(for/f"tokens=2"%%min(%%i)do(taskkill/PID%%m/f))del1.
txtdelC:\Windows\system32\wmassrv.
dlldelC:\Windows\system32\HalPluginsServices.
dlldelC:\Windows\System32\EnrollCertXaml.
dlldelC:\Windows\SpeechsTracing\spoolsv.
exedelC:\Windows\SpeechsTracing\Microsoft\*.
exerd/s/qC:\Windows\SpeechsTracing永恒之蓝挖矿蠕虫WannaMine特征、行为分析该文章对蠕虫原理进行了专业描述,可论证上述结论的正确性:WMAMiner挖矿蠕虫分析永恒之蓝挖矿蠕虫WannaMine特征特征1:出现以下文件及目录C:\Windows\system32\HalPluginsServices.
dllC:\Windows\System32\EnrollCertXaml.
dllC:\Windows\SpeechsTracingC:\Windows\SpeechsTracing\Microsoft\特征2:出现两个spoolsv.
exe进程出现一个非system32目录的svchost.
exe进程特征3:打开任务管理器时CPU占用下降,关闭后cpu占用又升高,升高时会有一个rundll32.
exe进程启动如下:蠕虫行为分析及清除脚本步骤1:使用ProcessMon查看spoolsv、rundll32进程都是被以下进程启动步骤2:查看netsvcs配置的自启动服务列表发现有一个新增的wmassrv步骤3:查看该服务信息步骤4:到此猜测如果把该服务关了是否spoolsv.
exe等进程就不会再被创建,进行尝试发现关了该服务后,手动杀掉spoolsv.
exerundll32.
exe进程都不会再自动启动.
至此回忆该服务为其伪装的守护服务.