Window應急響應(六):NesMiner挖礦病毒
0x00 前言html
做爲一個運維工程師,而非一個專業的病毒分析工程師,遇到了比較複雜的病毒怎麼辦?別怕,雖然對二進制不熟,可是依靠系統運維的經驗,咱們能夠用本身的方式來解決它。網絡
0x01 感染現象運維
一、向大量遠程IP的445端口發送請求網站
2、使用各類殺毒軟件查殺無果,雖然能識別出在C:\Windows\NerworkDistribution中發現異常文件,但即便刪除NerworkDistribution後,每次重啓又會再次生成。spa
在查詢了大量資料後,找到了一篇在2018年2月有關該病毒的報告:操作系統
NrsMiner:一個構造精密的挖礦僵屍網絡htm
https://www.freebuf.com/articles/system/162874.htmlblog
根據文章提示,主控模塊做爲服務「Hyper-VAccess Protection Agent Service」的ServiceDll存在。但在用戶的計算機並未找到該服務。進程
文章報道已然過去了一年多,這個病毒彷佛是升級啦,因而有了以下排查過程。事件
0x02 事件分析
A、網絡連接
經過現象,找到對外發送請求的進程ID:4960
B、進程分析
進一步經過進程ID找到相關聯的進程,父進程爲1464
找到進程ID爲1464的服務項,逐一排查,咱們發現服務項RemoteUPnPService存在異常。
C、刪除服務
選擇可疑服務項,右鍵屬性,中止服務,啓動類型:禁止。
中止並禁用服務,再清除NerworkDistribution目錄後,重啓計算機。異常請求和目錄的現象消失。
又排查了幾臺,現象一致,就是服務項的名稱有點變化。
0x03 病毒清除
NrsMiner挖礦病毒清除過程以下:
一、 中止並禁用可疑的服務項,服務項的名稱會變,但描述是不變的,這給我。
可疑服務項描述:Enables a common interface and object model for the Remote UPnP Service to access
刪除服務項:Sc delete RemoteUPnPService
二、 刪除C:\Windows\NerworkDistribution目錄
三、 重啓計算機
四、 使用殺毒軟件全盤查殺
五、 到微軟官方網站下載對應操做系統補丁,下載連接:
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010
推薦閱讀:
- 1. Window應急響應(六):NesMiner挖礦病毒
- 2. Window應急響應(四):挖礦病毒
- 3. Linux應急響應(三):挖礦病毒
- 4. 挖礦病毒應急響應分析
- 5. Window應急響應(三):勒索病毒
- 6. Window應急響應(五):ARP病毒
- 7. 【應急響應】勒索病毒
- 8. 應急響應-挖礦問題
- 9. 挖礦病毒
- 10. miner2 挖礦病毒
- 更多相關文章...
- • 如何僞造ARP響應? - TCP/IP教程
- • HTTP 響應頭信息 - HTTP 教程
- • TiDB 在摩拜單車在線數據業務的應用和實踐
- • RxJava操作符(六)Utility
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Appium入門
- 2. Spring WebFlux 源碼分析(2)-Netty 服務器啓動服務流程 --TBD
- 3. wxpython入門第六步(高級組件)
- 4. CentOS7.5安裝SVN和可視化管理工具iF.SVNAdmin
- 5. jedis 3.0.1中JedisPoolConfig對象缺少setMaxIdle、setMaxWaitMillis等方法,問題記錄
- 6. 一步一圖一代碼,一定要讓你真正徹底明白紅黑樹
- 7. 2018-04-12—(重點)源碼角度分析Handler運行原理
- 8. Spring AOP源碼詳細解析
- 9. Spring Cloud(1)
- 10. python簡單爬去油價信息發送到公衆號
- 1. Window應急響應(六):NesMiner挖礦病毒
- 2. Window應急響應(四):挖礦病毒
- 3. Linux應急響應(三):挖礦病毒
- 4. 挖礦病毒應急響應分析
- 5. Window應急響應(三):勒索病毒
- 6. Window應急響應(五):ARP病毒
- 7. 【應急響應】勒索病毒
- 8. 應急響應-挖礦問題
- 9. 挖礦病毒
- 10. miner2 挖礦病毒