445 numaralı bağlantı noktasından yatay olarak yayılan bir virüs
Bir gün, intranetteki bir ana bilgisayarın, bulunduğu ağ segmentinin 445 numaralı bağlantı noktasına SYN göndermeye devam ettiğini öğrendim, bu yüzden bu ana bilgisayarda oturum açtım ve komutu kullandım > netstat -ano | findstr 445 Aşağıdaki ekran görüntüsündeki durumu görünce, ana bilgisayarın davranışı aktif ve son derece kötü.
Çok sayıda 61260 işlemine ek olarak, genellikle KURULAN 94248 işlem vardır.Windows görev yöneticisi ile birleştirildiğinde, KURULAN işlemin uygulama dizininde olduğu bulunmuştur: C: \ Windows \ AppDiagnostics \
İlgili C: \ Windows \ AppDiagnostics \ dizinine gidin ve aşağıdaki şüpheli dosyalara bakın:
AppDiagnostics klasör adını takip ettim ve internette aradım.Profesyonel güvenlik netizenleri veya güvenlik satıcılarına göre, virüs NSRminer şifreli para madenciliği makinesinin güncellenmiş bir sürümü veya WannaMine, MS17-010 kullanarak Dongdong'un V3.0 sürümüne yükseltildi / Eternal Blue'nun güvenlik açıkları Kasım 2018'de Vietnam'dan yayılmaya başladı. Çin'e çok erken geldi. Bakalım nasıl kontrol edip öldüreceğiz. Netizenlere göre:
İlk adım, virüs bulaşma hizmetlerini sırasıyla snmpstorsrv ve biriktiriciyi durdurmak ve ilgili PID işlemlerini (61260, 94248) aşağıdaki şekilde sonlandırmaktır:
İkinci adım, AppDiagnostics virüs klasörünü (C: \ Windows \ dizini altında) ve MarsTraceDiagnostics.xml dosyasını (C: \ Windows \ System32 \ MarsTraceDiagnostics.xml dizini altında) aşağıdaki ekran görüntüsünde gösterildiği gibi silmektir.Aynı zamanda, silerken, klasörün 2018'de oluşturulduğunu sorar. 14 Aralık, 14:01.
Üçüncü adım, enfeksiyon hizmeti snmpstorsrv ve biriktiriciyi açmaktır.Test, aşağıdaki ekran görüntüsünde gösterildiği gibi 445 numaralı bağlantı noktası için artık SYN_SENT olmadığını tespit etti: (Not: C: \ Windows \ System32 \ altındaki MarsTraceDiagnostics.xml dosyası silinmediğinde, enfeksiyon hizmetleri snmpstorsrv ve biriktirici açılır. AppDiagnostics virüs klasörü yeniden C: \ Windows \ dizinine yazılmıştır ve 445 numaralı bağlantı noktası için SYN_SENT yeniden başlatılmıştır. Etkilenen hizmet artık orijinal hizmet değildir ve daha fazla temizlik yapılması gerekmektedir.)
sonuç olarak
Yüzeyde sorun kontrol altında gibi görünüyor, ancak büyük adamlardan virüsün bulaştığı ana bilgisayarın bu iki seferle temizlenemeyeceğini duydum.Ayrıca enfeksiyonun nasıl meydana geldiğini ve virüslü dosya kayıt defterinin temizlenip kullanılıp kullanılmadığını da analiz etmek gerekiyor. Boşluklar gerçekten giderilmiş olsun ya da olmasın, arkasında acemilerin şu anda yazamayacağı çok iş var, umarım büyük adamlar bana bazı tavsiyeler verebilir. . .
* Yazar: Qianng, lütfen FreeBuf.COM'dan belirtin.
