【每日一记11】---病毒处置之WannaMine4.0

每天坚持打卡学习签到！！

      「每日一记」目前已开展10期，已有近400位工程师参与并坚持不懈的进行技能输出，征集到5000余篇技术笔记，共派发出近1000000+S豆，送出40份精美好礼！想要收获额外成长收益吗？快加入笔记分享大军吧！>>【每日一记】第12期正在进行中

---

从SIP平台，发现一个地方有知识宝库，现将晚上学习的整理出来奉献给大家。大家若有兴趣可自行去学习查看。

一、什么是WannaMine4.0

       此病毒变种，是基于WannaMine3.0改造，又加入了一些新的免杀技术，传播机制与WannaCry勒索病毒一致（可在局域网内，通过SMB快速横向扩散），故将其命名WannaMine4.0。

二、感染现象

2.1、存在目录

C:\Windows\NetworkDistribution

2.2、存在文件

C:\Windows\System32\dllhostex.exe

C:\Windows\SysWOW64\dllhostex.exe

C:\Windows\System32或C:\Windows\SysWOW64目录下存在排列组合的DLL文件

(Windows|Microsoft|Network|Remote|Function|Secure|Application)

(Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP)

(Service|Host|Client|Event|Manager|Helper|System)

例如：

C:\Windows\System32\WindowsRPCSystem.dll

C:\Windows\SysWOW64\RemoteUpdateManager.dll

2.3、手动处置

1、结束组合名的服务对应的进程（使用ProcessHacker找到组合名的服务，右键跳转到对应的进程，结束进程）

2、结束进程dllhostex.exe

3、删除组合名的服务以及服务对应的dll文件

4、删除下列目录和文件

C:\Windows\NetworkDistribution

C:\Windows\System32\dllhostex.exe

C:\Windows\SysWOW64\dllhostex.exe

三、举例

（1）使用process hacker在网络连接中查看有对445端口的扫描，主要是对内网445端口的扫描；

（2）查找到对应进程为svchost.exe，发现相关联进程有dllhostex.exe，符合WannaMine4.0特征，通过威胁情报工具VirusTotal确定为恶意文件；

（4）根据WannaMine4.0特点，服务中会有拼接服务，找到下图服务：

（5）根据WannaMine4.0的攻击特征，spoolsv对局域网进行445端口扫描，确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程序svchost.exe和spoolsv.exe，在病毒主机上找到“spoolsv”，确认该病毒为WannaMine4.0；

（6）使用autoruns删除挖矿病毒主体服务dllhostex.exe和ApplicationRPCEvent.dll恶意文件；

（7）使用autoruns删除启动任务