记一次wannamine 3.0病毒的手动查杀

感谢分享有助于工作和学习！

楼主，是你让我深深地理解了‘人外有人，天外有天’这句话。谢谢你!在看完这帖子以后，我没有立即回复，因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了，因为觉得如果不能在如此精彩的帖子后面留下自己的网名，那我会遗憾终生的!

感谢分享，学习一下~

感谢分享，学习一下~

一.病毒分析

我们分析下wannamine3.0的攻击场景，沿用了1.0和2.0的精心设计，涉及的病毒模块多，感染面广，关系复杂。

主要的病毒压缩包变为了MarsTraceDiagnostics.xml,包含所有的攻击组件，其组件有spoolsv.exe,snmpstorsv.dll,此外还有永恒之蓝漏洞攻击工具（svchost.exe,spoolsv.exe,x86.dll/x64.dll等）病毒文件释放在以下目录中

C:\Windows\System32\MarsTraceDiagnostics.xml

C:\Windows\AppDiagnostics\

C:\Windows\System32\TrustedHostex.exe

攻击的顺序

1.由主服务snmpstorsv，对应的动态库文件snmpstorsv.dll(由系统svchost.exe加载)，每次开机自启动，启动后加载spoolsv.exe

2.spoolsv.exe对局域网进行445端口扫描，确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe（另外一个病毒文件）。

3.svchost.exe执行“永恒之蓝”漏洞溢出攻击（目的IP由第2步确认），成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门）安装后门，加载payload（x86.dll/x64.dll）。

4.payload（x86.dll/x64.dll）执行后，负责将MarsTraceDiagnostics.xml从本地复制到目的IP主机，再解压该文件，注册snmpstorsrv主服务，启动spoolsv执行攻击（每感染一台，都重复步骤1、2、3、4）。

二.病毒处置

1.首先把应急工具包放在中毒的服务器上，然后通过processhacker进程分析那个pid在对外进行445扫描或者用netstat-anbo |findstr “445”也可以记录pid

2.然后进入C:\Windows\AppDiagnostics\目录下看到这些dll文件，已经可以断定中了wannamine3.0病毒了，因为直接删除这个appdiagnostics肯定会报错，因为有进程调用到这个文件夹里面的模块了，所以我们首先要找到病毒的进程，然后干掉，通过processhacker来kill病毒的进程

3. 从下图中可以看到这个pid为107200的svchost.exe进程以syn_sent请求连接扫描445端口

4. 可以看到进程号pid为107200的svchost，下面还拉起了cmd，而cmd下面拉起了AppDiagnostics目录下的svchost.exe,所以现在要把svchost这个107200进程结束，以及pid为896的父进程结束掉

5.而这个父进程svchost.exe(pid896)是由snmpstorsrv这个主服务调用snmpstorsv.dll文件拉起来的，所以我们要结束父进程

6. 删除snmpstorsv服务，删除snmpstorsv.dll文件

7.如果没有删除这个文件，系统又会自动创建snmpstorsv服务，然后服务又会拉起svchost.exe，所以在停止服务后，要把snmpstorsv.dll，MarsTraceDiagnostics.xml，C:\Windows\AppDiagnostics\的文件全部删除

8.清除完了文件，然后服务也删除，进程结束后，通过netstat和processhacker没有发现有扫描的445端口的进程了

9.最重要的不要忘记打补丁，如果你清除完了病毒没有及时打补丁，就会发生重复感染的现象，又会被其他病毒主机感染

10.最后用edr单机版全盘扫描下，看系统是否存在其他的病毒文件