關(guān)于病毒及木馬的問(wèn)題，都說(shuō)老生常談的了，這里就不講逆向分析的東西，網(wǎng)上畢竟太多。就寫(xiě)一下WannaMine2.0到4.0的手工處理操作。確實(shí)，很多時(shí)候都被問(wèn)的煩了。

WannaCry勒索與WannaMine挖礦，雖然首次發(fā)生的時(shí)間已經(jīng)過(guò)去很久了，但依舊能在很多家內(nèi)網(wǎng)見(jiàn)到這兩個(gè)，各類(lèi)殺毒軟件依舊無(wú)法清除干凈，但可以阻斷外聯(lián)及刪除病毒主體文件，但依然會(huì)殘留一些。此種情況下，全流量分析設(shè)備依舊可以監(jiān)測(cè)到嘗試外聯(lián)，與445端口掃描行為。

WannaCry 在使用殺毒軟件及手動(dòng)清除攻擊組件所在目錄后，仍需手動(dòng)cmd命令刪除兩個(gè)系統(tǒng)服務(wù)sc delete mssecsvc2.0與mssecsvc2.1。

WannaMine 全系使用“永恒之藍(lán)”漏洞，在局域網(wǎng)內(nèi)快速傳播。且高版本會(huì)在執(zhí)行成功后完全清除舊版本。

下圖為WannaCry與WannaMine使用的永恒之藍(lán)攻擊組件相關(guān)文件。

WannaMine2.0版本

該版本釋放文件參考如下：
C:\Windows\SpeechsTracing\Microsoft
C:\Windows\system32\wmassrv.dll
C:\Windows\system32\HalPluginsServices.dll
C:\Windows\System32\EnrollCertXaml.dll 刪除系統(tǒng)服務(wù)名與DLL文件對(duì)應(yīng)的wmassrv。

WannaMine3.0版本

該版本釋放文件參考如下：

C:\Windows\System32\MarsTraceDiagnostics.xmlC:\Windows\AppDiagnostics\C:\Windows\System32\TrustedHostex.exeC:\Windows\System32\snmpstorsrv.dll

需刪除主服務(wù)snmpstorsrv與UPnPHostServices計(jì)劃任務(wù)

WannaMine4.0版本

該版本釋放文件參考如下：

C:\Windows\System32\rdpkax.xsl

C:\Windows\System32\dllhostex.exe

C:\Windows\System32\ApplicationNetBIOSClient.dll

C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll

C:\Windows\SysWOW64\dllhostex.exe

C:\Windows\NetworkDistribution

病毒母體是一個(gè)install.exe程序，其在運(yùn)行的過(guò)程中僅僅是釋放文件，包含一個(gè)rdpxxx.xxx格式的文件和xxxxxx.dll格式的文件在C:\Windows\system32\目錄下，同時(shí)會(huì)獲取svchost.exe的文件創(chuàng)建時(shí)間，并修改。rdpxxx.xxx格式的文件和xxxxxx.dll格式的文件，都是根據(jù)解密字符串隨機(jī)拼接生成文件名。系統(tǒng)服務(wù)名同dll文件名。

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名隨機(jī)組合參考? 第一部分：Windows、Microsoft、Network、Remote、Function、Secure、Application ?第二部分：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP ?第三部分：Service、Host、Client、Event、Manager、Helper、System ?rdp壓縮文件隨機(jī)字符串后綴：xml、log、dat、xsl、ini、tlb、msc</pre>

關(guān)于Windows下計(jì)劃任務(wù)與啟動(dòng)項(xiàng)查看方式，建議在使用PCHunter、Autoruns、ProcessHacker等工具無(wú)法發(fā)現(xiàn)異常的情況下，可以到注冊(cè)表下查看。

注冊(cè)表下排查可疑的計(jì)劃任務(wù)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree

發(fā)現(xiàn)可疑項(xiàng)可至tasks下查看對(duì)應(yīng)ID的Actions值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\tasks[圖片上傳失敗...(image-e8f3b4-1649809774433)]

計(jì)劃任務(wù)文件物理目錄
C:\Windows\System32\Tasks\Microsoft\Windows

新變種病毒有依靠 WMI 類(lèi)屬性存儲(chǔ) ShellCode 進(jìn)行攻擊，Autoruns可以用來(lái)檢查WMI與啟動(dòng)項(xiàng)并進(jìn)行刪除，在手動(dòng)刪除病毒相關(guān)計(jì)劃任務(wù)與啟動(dòng)項(xiàng)時(shí)，記得刪除相應(yīng)的文件與注冊(cè)表ID對(duì)應(yīng)項(xiàng)。

注冊(cè)表下查看開(kāi)機(jī)啟動(dòng)項(xiàng)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或runOnce [圖片上傳失敗...(image-8a357b-1649809774432)]