一、背景
工厂车间中毒挖矿病毒和勒索病毒,性能好的设备中毒之后没有具体表现,只是会像网段内的所有设备的445端口发送文件。性能差的设备会蓝屏重启,而且十分频繁。病毒在每次设备重启的时候会把文件复制到网段内能感染的其他机器。
因为windows漏洞,主要中招设备为win7 xp 以及win CE系统。 分别打上补丁,开启防火墙,关闭445端口可以解决病毒传播问题。具体操作系统的版本的对应的补丁百度可知。
由于中毒的机器比较多,而且多数只有键盘和触摸板,没有鼠标,删除病毒比较麻烦,所以写了个脚本关闭病毒的服务—》删除病毒服务-》删除病毒文件。
snmpstorsrv服务为挖矿病毒服务,以下几个文件为挖矿病毒相关的文件和注册表
C:WindowsSystem32MarsTraceDiagnostics.xml
C:WindowsAppDiagnostics
C:WindowsSystem32snmpstorsrv.dll
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicessnmpstorsrv
mssecsvc2.0 mssecsvc2.1这两个服务为勒索病毒的服务对应以下两个文件。
C:Windowsmssecsvc.exe
C:Windowsmssecsrv.exe
C:Windows askche.rar为其他病毒 通过Macfee扫描出来的。
二、措施
1、检查所有设备电脑是否有补丁、是否开启防火墙并关闭445端口、是否安装Macfee。3样都没有的东西列为高风险机器。
2、有些设备开启防火墙之后无法与其他设备通信,需要通过命令行中netstat -ano观察应用服务使用的端口,开放端口之后设备可以正常工作。我开放了一批可能的端口用xx-xxx的形式 ,入站规则和出站规则中都需要配置。而且UDT和TCP需要分别开放。
3、所有win7 XP 系统的设备电脑都安装对应的补丁。
4、所有的相关设备电脑都安装Macfee,假如与设备程序冲突,则卸载macfee,保证设备程序正常运行。
二、脚本
sc stop snmpstorsrv sc config snmpstorsrv start= disabled sc delete snmpstorsrv sc stop mssecsvc2.0 sc stop mssecsvc2.1 sc config mssecsvc2.0 start= disabled sc config mssecsvc2.1 start= disabled sc delete mssecsvc2.0 sc delete mssecsvc2.1 del C:Windowsmssecsvc.exe del C:Windowsmssecsrv.exe del C:Windows askche.rar del C:WindowsSystem32MarsTraceDiagnostics.xml del C:WindowsSystem32snmpstorsrv.dll rd /s C:WindowsAppDiagnostics reg delete HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicessnmpstorsrv /va /f pause
下面是带注释的脚本,如需要使用,直接使用上面的脚本。
sc stop snmpstorsrv //停止服务 sc config snmpstorsrv start= disabled //禁用服务 sc delete snmpstorsrv //删除服务 sc stop mssecsvc2.0 sc stop mssecsvc2.1 sc config mssecsvc2.0 start= disabled sc config mssecsvc2.1 start= disabled sc delete mssecsvc2.0 sc delete mssecsvc2.1 del C:Windowsmssecsvc.exe del C:Windowsmssecsrv.exe del C:Windows askche.rar del C:WindowsSystem32MarsTraceDiagnostics.xml//删除文件 del C:WindowsSystem32snmpstorsrv.dll //删除文件 rd /s C:WindowsAppDiagnostics //删除文件夹及文件夹下所有文件和文件夹 reg delete HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicessnmpstorsrv /va /f //删除注册表 pause