无意中发现电脑中了WannaCry的变种病毒,具体现象为cmd命令行netstat -an |find ":445" 有大量从本机外连其他机器445端口的TCP连接。WannaCry之前的版本会释放勒索程序对主机进行勒索,但变种中该程序在主流Windows平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该病毒,病毒会互相之间进行永恒之蓝漏洞***,该漏洞的利用使用了堆喷射技术,该技术漏洞利用并不稳定,有小概率出现漏洞利用失败,在未打补丁利用失败的情况,会造成被***主机蓝屏的现象。
处理步骤:
一、安装MS17-010补丁。补丁下载地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
二、使用深信服WannaCry专杀工具进行杀毒。
如上2步完成后本以为万事大吉,可是观察发现仍然有大量从本机发往同一网段其他机器445端口TCP连接出现。如此可见病毒并未完全被清除,认真想想虽然我们安装了补丁仅仅是起到了不被再次感染的作用。所以我再次打开“任务管理器”又发现几个可疑进程直接强制结束,发现根本杀不掉。之后又找到进程文件所在目录直接强制删除发现也不管用,因为该文件被进程正在调用中。。。沉思片刻之后果断安装360杀毒进行扫描查杀最后搞定。不得不承认360很牛币啊。哈哈XD.
被360查杀的遗留病毒目录和文件:
C:\Windows\SecureBootThemes\
C:\Windows\System32\SecureBootThemes\spoolsv.exe
C:\Windows\System32\TrustedHostServices.exe
C:\Windows\System32\tpmagentservice.dll
参考文章:
http://sec.sangfor.com.cn/events/97.html
http://www.freebuf.com/news/139809.html
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
