一次病毒通過445埠自我橫向蔓延的艷遇

有一天，發現內網一台主機不停的向所在網段的445埠發SYN, 於是登錄這台主機用命令>netstat -ano |findstr 445 看到如下截圖的狀態，此主機的行為主動而特別惡劣。

除了一大片的61260進程外，居然有94248的進程經常已經ESTABLISHED了，結合Windows任務管理器發現ESTABLISHED進程對應用程序目錄為：C:WindowsAppDiagnostics

進到對應目錄C:WindowsAppDiagnostics下看到如下可疑文件：

循著文件夾名稱AppDiagnostics網上查找了一下，據專業安全網友或安全廠商介紹該病毒是一個名叫更新版NSRminer加密貨幣挖礦機 或者WannaMine升級到V3.0版本的東東在利用MS17-010/Eternal Blue啥啥的漏洞在作怪2018年11月份開始從越南流行，這麼快就到中國了，趕緊看看怎麼查殺吧，根據網友介紹：

第一步先後停止病毒感染服務snmpstorsrv與spooler與結束對應PID進程（61260、94248）如下截圖：

第二步刪除病毒文件夾AppDiagnostics（C:Windows目錄下 ） 和文件 MarsTraceDiagnostics.xml（C:WindowsSystem32MarsTraceDiagnostics.xml目錄下 ） 如下截圖，同時在刪除時提示文件夾創建於2018年12月14日 14:01分。

第三步開啟感染服務 snmpstorsrv與spooler 測試發現不再有針對445埠的SYN_SENT如下截圖所示：（註：不刪除C:WindowsSystem32下的MarsTraceDiagnostics.xml文件時開啟感染服務 snmpstorsrv與spooler後病毒文件夾AppDiagnostics又被寫入到C:Windows目錄下了，針對於445埠的SYN_SENT又開始了，由此看來感染過的服務已不是原來的服務了，還需要進一步的清洗。 ）

總結

問題從表面看好像是得到了控制，但聽大佬們說病毒感染過的主機，不是這兩下能處理乾淨的，還要分析怎麼感染的，感染的文件註冊表是否已處理乾淨，利用的漏洞有沒有真正修復，後面有一大堆工作本菜鳥目前無法寫了，希望大佬們多多指點。。。

*本文作者：Qianng，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！