码迷,mamicode.com
首页 > 其他好文 > 详细

WannaMine3.0

时间:2020-02-28 22:55:55      阅读:51      评论:0      收藏:0      [点我收藏+]

标签:terminal   asp   anti   trace   dia   服务   com   ted   端口   

1、病毒现象

(1)、文件特征

C:\Windows\System32\MarsTraceDiagnostics.xml
C:\Windows\AppDiagnostics\
C:\Windows\System32\TrustedHostex.exe
在以上这些目录中存在svchost.exe、spoolsv.exe、svchost.xml、x86.dll/x64.dll、MarsTraceDiagnostics.xml、snmpstorsrv.dll等文件。

(2)、中毒主机对同网段主机有大量445连接。

2、病毒处置

(1)、使用autoruns.exe删掉病毒主服务srv,检查开机启动项和计划任务项。
(2)、删除上述文件夹中的病毒文件并关闭病毒进程。
(3)、使用SfabAntiBot.exe进行全盘查杀。下载地址: http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
(4)、关闭135,137,139,445网络共享端口
(5)、打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应系统的漏洞补丁https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、病毒详情

https://www.freebuf.com/articles/terminal/190093.html

WannaMine3.0

标签:terminal   asp   anti   trace   dia   服务   com   ted   端口   

原文地址:https://www.cnblogs.com/yyxianren/p/12380339.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!