病毒名称: Wannamine3.0变种挖矿蠕虫

病毒影响: 至今仍存在ms17-010漏洞的Windows操作系统

病毒危害等级: 高危

漏洞补丁更新地址: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

威胁分析

根据分析，发现该蠕虫与WannaMine V3.0不同的是，该蠕虫加入了一些进程隐藏技术，但其传播机制与WannaCry勒索病毒一致（可在局域网内，通过SMB快速横向扩散），故推测为WannaMine V3.0 变种挖矿蠕虫。

其与WannaMine V3.0版本挖矿蠕虫不同之处在于使用了与CreateRemoteThread类似的SetThreadContext这种远程注入方式进行进程隐藏。

由于远程注入了系统进程，如svchost.exe、ctfmon.exe等进程，虽可通过流量侧发现异常，但从进程管理器中无法识别出具体哪个进程存在问题。用户可以采用以下方式识别是否存在该病毒。

1、检查是否存在目录

C:\Windows\AppDiagnostics\

且内部文件为NSA工具集。

2、通过tcpview工具发现系统进程（svchost.exe的子进程）大量对外445端口连接，且结束该进程后，过段时间会出现不一样的系统进程（svchost.exe的子进程）大量对外发起445端口连接。

3、查看是否存在服务snmpstorsrv，映像文件为snmpstorsrv.dll。

影响版本

至今仍存在ms17-010漏洞的Windows操作系统

注：MS17-010是一个安全类型的补丁，MS17-010更新修复了 Microsoft Windows中的漏洞。 如果攻击者向 Microsoft 服务器消息块 1.0 (SMBv1) 服务器发送经特殊设计的消息，则其中最严重的漏洞可能允许远程代码执行。

解决方案

按以下步骤可以清除病毒

1、删除文件夹及文件：

C:\Windows\AppDiagnostics\、C:\Windows\System32\MarsTraceDiagnostics.xml、C:\Windows\System32\TrustedHostex.exe

2、 删除服务snmpstorsrv，及其映像文件snmpstorsrv.dll

3、打补丁，前往微软官方下载对应的安全补丁：
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

4、重启