WannaMine3.0

标签：terminal   asp   anti   trace   dia   服务   com   ted   端口   

1、病毒现象

（1）、文件特征

C:\Windows\System32\MarsTraceDiagnostics.xml
C:\Windows\AppDiagnostics\
C:\Windows\System32\TrustedHostex.exe
在以上这些目录中存在svchost.exe、spoolsv.exe、svchost.xml、x86.dll/x64.dll、MarsTraceDiagnostics.xml、snmpstorsrv.dll等文件。

（2）、中毒主机对同网段主机有大量445连接。

2、病毒处置

（1）、使用autoruns.exe删掉病毒主服务srv，检查开机启动项和计划任务项。
（2）、删除上述文件夹中的病毒文件并关闭病毒进程。
（3）、使用SfabAntiBot.exe进行全盘查杀。下载地址： http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
（4）、关闭135，137，139，445网络共享端口
（5）、打上“永恒之蓝”漏洞补丁，请到微软官网，下载对应系统的漏洞补丁https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、病毒详情

https://www.freebuf.com/articles/terminal/190093.html

WannaMine3.0

标签：terminal   asp   anti   trace   dia   服务   com   ted   端口   

原文地址：https://www.cnblogs.com/yyxianren/p/12380339.html