WannaMine挖矿木马手工处理

关于病毒及木马的问题，都说老生常谈的了，这里就不讲逆向分析的东西，网上毕竟太多。就写一下WannaMine20到40的手工处理 *** 作。确实，很多时候都被问的烦了。

WannaCry勒索与WannaMine挖矿，虽然首次发生的时间已经过去很久了，但依旧能在很多家内网见到这两个，各类杀毒软件依旧无法清除干净，但可以阻断外联及删除病毒主体文件，但依然会残留一些。此种情况下，全流量分析设备依旧可以监测到尝试外联，与445端口扫描行为。

WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后，仍需手动cmd命令删除两个系统服务sc delete mssecsvc20与mssecsvc21。

WannaMine 全系使用“永恒之蓝”漏洞，在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。

下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。

WannaMine20版本

该版本释放文件参考如下：
C:\Windows\SpeechsTracing\Microsoft
C:\Windows\system32\wmassrvdll
C:\Windows\system32\HalPluginsServicesdll
C:\Windows\System32\EnrollCertXamldll 删除系统服务名与DLL文件对应的wmassrv。

WannaMine30版本

该版本释放文件参考如下：

C:\Windows\System32\MarsTraceDiagnosticsxmlC:\Windows\AppDiagnostics\C:\Windows\System32\TrustedHostexexeC:\Windows\System32\snmpstorsrvdll

需删除主服务snmpstorsrv与UPnPHostServices计划任务

WannaMine40版本

该版本释放文件参考如下：

C:\Windows\System32\rdpkaxxsl

C:\Windows\System32\dllhostexexe

C:\Windows\System32\ApplicationNetBIOSClientdll

C:\Windows\SysWOW64\ApplicationNetBIOSClientdll

C:\Windows\SysWOW64\dllhostexexe

C:\Windows\NetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名随机组合参考• 第一部分：Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分：Service、Host、Client、Event、Manager、Helper、System •rdp压缩文件随机字符串后缀：xml、log、dat、xsl、ini、tlb、msc</pre>

关于Windows下计划任务与启动项查看方式，建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下，可以到注册表下查看。

注册表下排查可疑的计划任务

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree

发现可疑项可至tasks下查看对应ID的Actions值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\tasks[上传失败(image-e8f3b4-1649809774433)]

计划任务文件物理目录
C:\Windows\System32\Tasks\Microsoft\Windows

新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击，Autoruns可以用来检查WMI与启动项并进行删除，在手动删除病毒相关计划任务与启动项时，记得删除相应的文件与注册表ID对应项。

注册表下查看开机启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或runOnce [上传失败(image-8a357b-1649809774432)]

Linux服务器挖矿，只需要两步

打开 网站，输入手机号，选择你要使用多少CPU来挖矿，默认为使用50%的CPU进行挖矿，点击生成你的专属命令并复制

进入控制台粘贴命令，并点击运行

就是这么 *** 作简单。

试试腾讯电脑管家查杀，在云查杀引擎中，电脑管家首次启用了微特征技术。微特征技术极大的提高云查杀引擎对最新病毒的反应速度，增强了云查杀引擎应对复杂病毒时的能力。以往传统的云查杀引擎相当于收集了所有病毒犯罪分子的照片，虽然可以通过照片准确的比对出犯罪分子，但是只要犯罪分子换一身衣服，或者化化妆，传统的云引擎就需要重新再次收集信息识别。

---