打印本文打印本文 关闭窗口关闭窗口

Wannamine3.0变种挖矿蠕虫安全预警

作者: 来源: 发布时间:2019年02月26日

病毒名称: Wannamine3.0变种挖矿蠕虫

病毒影响: 至今仍存在ms17-010漏洞的Windows操作系统

病毒危害等级: 高危

漏洞补丁更新地址: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

威胁分析

根据分析,发现该蠕虫与WannaMine V3.0不同的是,该蠕虫加入了一些进程隐藏技术,但其传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散),故推测为WannaMine V3.0 变种挖矿蠕虫。

其与WannaMine V3.0版本挖矿蠕虫不同之处在于使用了与CreateRemoteThread类似的SetThreadContext这种远程注入方式进行进程隐藏。

121.jpg

由于远程注入了系统进程,如svchost.exe、ctfmon.exe等进程,虽可通过流量侧发现异常,但从进程管理器中无法识别出具体哪个进程存在问题。用户可以采用以下方式识别是否存在该病毒。

1、检查是否存在目录

C:\Windows\AppDiagnostics\

且内部文件为NSA工具集。

122.jpg

2、通过tcpview工具发现系统进程(svchost.exe的子进程)大量对外445端口连接,且结束该进程后,过段时间会出现不一样的系统进程(svchost.exe的子进程)大量对外发起445端口连接。

3、查看是否存在服务snmpstorsrv,映像文件为snmpstorsrv.dll。

影响版本

至今仍存在ms17-010漏洞的Windows操作系统

注:MS17-010是一个安全类型的补丁,MS17-010更新修复了 Microsoft Windows中的漏洞。 如果攻击者向 Microsoft 服务器消息块 1.0 (SMBv1) 服务器发送经特殊设计的消息,则其中最严重的漏洞可能允许远程代码执行。

 

解决方案

按以下步骤可以清除病毒

1、删除文件夹及文件:

C:\Windows\AppDiagnostics\、C:\Windows\System32\MarsTraceDiagnostics.xml、C:\Windows\System32\TrustedHostex.exe

 

2、 删除服务snmpstorsrv,及其映像文件snmpstorsrv.dll

 

3、打补丁,前往微软官方下载对应的安全补丁:
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

 

4、重启

打印本文打印本文 关闭窗口关闭窗口