0x00 前言
作為一個運維工程師,而非一個專業的病毒分析工程師,遇到了比較復雜的病毒怎么辦?別怕,雖然對二進制不熟,但是依靠系統運維的經驗,我們可以用自己的方式來解決它。
0x01 感染現象
1、向大量遠程IP的445端口發送請求
2、使用各種殺毒軟件查殺無果,雖然能識別出在C:\Windows\NerworkDistribution中發現異常文件,但即使刪除NerworkDistribution后,每次重啟又會再次生成。
在查詢了大量資料后,找到了一篇在2018年2月有關該病毒的報告:
NrsMiner:一個構造精密的挖礦僵屍網絡
https://www.freebuf.com/articles/system/162874.html
根據文章提示,主控模塊作為服務“Hyper-VAccess Protection Agent Service”的ServiceDll存在。但在用戶的計算機並未找到該服務。
文章報道已然過去了一年多,這個病毒似乎是升級啦,於是有了如下排查過程。
0x02 事件分析
A、網絡鏈接
通過現象,找到對外發送請求的進程ID:4960
B、進程分析
進一步通過進程ID找到相關聯的進程,父進程為1464
找到進程ID為1464的服務項,逐一排查,我們發現服務項RemoteUPnPService存在異常。
C、刪除服務
選擇可疑服務項,右鍵屬性,停止服務,啟動類型:禁止。
停止並禁用服務,再清除NerworkDistribution目錄后,重啟計算機。異常請求和目錄的現象消失。
又排查了幾台,現象一致,就是服務項的名稱有點變化。
0x03 病毒清除
NrsMiner挖礦病毒清除過程如下:
1、 停止並禁用可疑的服務項,服務項的名稱會變,但描述是不變的,這給我。
可疑服務項描述:Enables a common interface and object model for the Remote UPnP Service to access
刪除服務項:Sc delete RemoteUPnPService
2、 刪除C:\Windows\NerworkDistribution目錄
3、 重啟計算機
4、 使用殺毒軟件全盤查殺
5、 到微軟官方網站下載對應操作系統補丁,下載鏈接:
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010
推薦閱讀: