1、病毒现象
(1)、文件特征
C:WindowsSysWOW64下存在svhost.exe、C:WindowsSysWOW64driver目录下存在svchost.exe taskmgr.exe(进程管理器)、temp目录下存在svchost.exe,且存在所有的利用工具包含m.ps1、mkatz.ini(mimikatz)、temp.vbs
(2)、计划任务存在Bluetooths、DnsScan
(3)、进程项存在svchost.exe(属性查看来源于temp)、taskmgr.exe(查看属性来源于C:WindowsSysWOW64driver)
2、病毒处置
(1)、存在”驱动人生”软件用户手工更新版本或卸载软件
(2)、修复”永恒之蓝”的漏洞,补丁下载。
(3)、若不使用共享服务,关闭相关共享端口(135、137、138、139、445)及不必要的端口。
(4)、删除任务计划DnsScan、WebServers、Ddrivers和Bluetooths、Certificate、Credentials。
(5)、删除C:WindowsSysWOW64下的svhost.exe,删除C:WindowsSysWOW64driver目录下存在svchost.exe、taskmgr.exe,删除temp目录下面的m.ps1、mkatz.ini(mimikatz)、tmp.vbs、svchost.exe
(6)、服务器密码修改为八位及其以上含大小字母特殊字符,切勿使用弱口令
(7)、再次全盘查杀,确保确实病毒已经处理
3、补充(针对新老版本)
恶意文件可能存在的地方
c:windowssystem32svhost.exe
c:windowssystem32driverssvchost.exe
c:windowssystem32drivers askmgr.exe
c:windowssystem32wmiex.exe
c:windowssysWOW64svhost.exe
c:windowssysWOW64driverssvchost.exe
c:windowssysWOW64drivers askmgr.exe
c:windowssysWOW64wmiex.exe
c:windows empsvchost.exe
c:windows empmkatz.ini
c:windows empm.ps1
C:windows emp tt.exe
%appdata%Microsoftcred.ps1
C:windows emp mp.vbs
%appdata%MicrosoftWindowsStart MenuProgramsStartup
un.bat
可能存在的恶意进程
c:windowssystem32svhost.exe
c:windowssystem32driverssvchost.exe
c:windowssystem32drivers askmgr.exe
c:windowssystem32wmiex.exe
c:windowssysWOW64svhost.exe
c:windowssysWOW64driverssvchost.exe
c:windowssysWOW64drivers askmgr.exe
c:windowssysWOW64wmiex.exe
c:windows empsvchost.exe
C:windows emp tt.exe
注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun->Ddriver
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun->WebServers
4、病毒详情
https://guanjia.qq.com/news/n3/2475.html