[作者:byeyear 郵箱:byeyear@hotmail.com 轉載請注明]
前兩天公司信息安全處通知我的計算機存在永恆之藍漏洞並已被病毒感染,使用多方殺軟及專殺工具均無法有效清除,遂設法進行手工清除。
在被感染計算機上進行分析,對比被感染計算機和未感染計算機系統目錄內容,初步測試后可確定該病毒較為明顯的特征如下:
在Windows目錄下建立文件夾NetworkDistribution,該目錄下存放的是進行感染所需的文件,感染完成后不再需要;
在Windows\system32目錄下建立文件dllhostex.exe,隨系統啟動,刪除后自動恢復,初步判斷存在隱藏進程或偽裝系統服務。
根據以上特征在網上搜索病毒信息,可知該病毒注冊了系統服務,其作為服務運行的主文件名(dll文件)按如下規則構造:
第一字符串:Windows、Microsoft、Network、Remote、Function、Secure、Application
第二字符串:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
第三字符串:Service、Host、Client、Event、Manager、Helper、System
從以上三組字符串中隨機各取其一組合成最終文件名。例如WindowsUpdateService.dll、MicrosoftNetBIOSEvent.dll等。
根據以上信息,制定並執行如下清除步驟:、
0. 斷開網絡連接
1. 進入安全模式
2. 刪除NetworkDistribution文件夾
3. 刪除dllhostex.exe文件
4. 建立一個空NetworkDistribution文件夾,並將所有權限設置為“拒絕”;
5. 建立一個空dllhostex.exe文件,並將所有權限設置為“拒絕”;
6. 使用Everything文件名搜索工具,按如下正則表達式搜索符合條件的文件名:
(Windows|Microsoft|Network|Remote|Function|Secure|Application)(Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP)(Service|Host|Client|Event|Manager|Helper|System)
7. 刪除符合搜索條件的文件;
8. 根據上述文件,刪除注冊表中對應服務鍵;
9. 防火牆禁止如下端口:137-139,445
經過以上處理后,公司信息安全處未再監測到我計算機上的異常活動。可能還存在病毒殘余,隨它去了。
教訓:及時更新補丁;關閉易引發問題的端口。
作者簡介:長江中下游地區十八線小縣城創業板民營企業大叔年齡技術員一枚,工作與研究方向為計算機接口技術、數字信號處理、嵌入式系統等。