WannaMine(永恒之蓝升级版)
WannaMine这是永恒之蓝病毒的升级版本,不过下载前注意请不要在自己的电脑上使用,建议在虚拟机上运行或是淘汰的电脑上调试。如果没有专业知识的同学也不太建议下载来玩。
相关新闻
深信服安全团队研究发现,该企业用户中的是最新型的WannaMine变种,之前有WannaMine1.0和WannaMine2.0版本。
此病毒变种,是基于WannaMine改造,加入了一些免杀技术,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散),故我们将其命名WannaMine3.0。
国内外发现的首例,国内安全厂商还没有相关报道。
我们对捕获的样本进行分析,发现其接入站点已变更为codidled.com。经查验,这是一个2018年11月11日刚申请注册的域名,也就是说,黑客重新编译WannaMine3.0的时间锁定为2018年11月11日或以后。
近日,多家医院先后中招,我们对其传播速度深感惊讶!未来,感染面也会跟原始变种WannaMine1.0和WannaMine2.0一样惊人!
0x01 攻击场景
此次攻击,沿用了WannaMine1.0和WannaMine2.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。
所不同的是,原始“压缩包”已经变为MarsTraceDiagnostics.xml,其含有所需要的所有攻击组件。旧病毒的压缩包是可以直接解压的,但此变种做了免杀,MarsTraceDiagnostics.xml是一个特殊的数据包,需要病毒自己才能分离出各个组件。其组件有spoolsv.exe、snmpstorsrv.dll等病毒文件,此外,还有“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。
本文所述病毒文件,释放在下列文件目录中:
C:\Windows\System32\MarsTraceDiagnostics.xmlC:\Windows\AppDiagnostics\C:\Windows\System32\TrustedHostex.exe
攻击顺序:
1.有一个主服务snmpstorsrv,对应动态库为snmpstorsrv.dll(由系统进程svchost.exe加载),每次都能开机启动,启动后加载spoolsv.exe。
2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)。
3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)执行后,负责将MarsTraceDiagnostics.xml从本地复制到目的IP主机,再解压该文件,注册snmpstorsrv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。
0x02 清理早期WannaMine版本
WannaMine3.0特意做了清理早期WannaMine版本的动作,包括删除或者停掉WannaMine1.0和WannaMine2.0相关的文件、服务和计划任务等。
清理掉之前WannaMine版本的病毒样本,如下所示:
1.停掉wmassrv服务,如下所示:
2.删除UPnPHostServices计划任务,如下所示:
3.删除EnrollCertXaml.dll,如下所示:
4.结束永恒之蓝攻击程序以及挖矿程序进程,并删除相应的文件,如下所示:
相应的进程文件如下:
C:\Windows\SpeechsTracing\spoolsv.exeC:\Windows\System32\TasksHostServices.exeC:\Windows\SpeechsTracing\Microsoft\svchost.exeC:\Windows\SpeechsTracing\Microsoft\spoolsv.exe
5.删除之前wmassrv.dll文件,如下所示:
6.遍历之前版本目录下的文件,然后删除,如下所示:
相应的目录,如下所示:
C:\Windows\SpeechsTracing\C:\Windows\SpeechsTracing\Microsoft\
7.卸载之前的挖矿模块HalPluginsServices.dll,如下所示:
结束rundll32.exe进程,如下所示:
并删除相应挖矿的文件。
0x03 挖矿
WannaMine3.0沿用WannaMine1.0和WannaMine2.0的套路,同样是瞄准了大规模的集体挖矿(利用了“永恒之蓝”漏洞的便利,迅速使之在局域网内迅猛传播),挖矿主体病毒文件为TrustedHostex.exe。
连入地址为codidled.com。
0x04 解决方案
1.隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2.切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。深信服下一代防火墙用户,可开启IPS和僵尸网络功能,进行封堵。
3.查找攻击源:手工抓包分析或借助深信服安全感知。
4.查杀病毒:推荐使用深信服EDR进行查杀。
5.修补漏洞:打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁
以上就是11ba小编为大家带来的WannaMine(永恒之蓝升级版)的详细介绍,喜欢就收藏一下吧!说不定会找到你要的惊喜╰(*°▽°*)╯~
人气软件
-
360杀毒win10系统
60.2M/中文
下载
-
金山毒霸通行证申请软件v2.6官方版
373KB/中文
下载
-
symantecantivirus企业杀毒软件v10.0.0.359官方版
23.7M/中文
下载
-
esetnod32antivirus杀毒软件
5.2M/中文
下载
-
可牛急救箱最新版v2.0中文版
7.6M/中文
下载
-
u盘防毒软件v3.03
4.48 MB/中文
下载
热门专题
- 电脑杀毒软件
- 木马查杀软件大全
相关文章
- 支付宝怎么开启地震预警 支付宝地震预警的正确使用方法
- 腾讯微云如何开启签到提醒 腾讯微云开启签到提醒教程
- 腾讯文档如何创建思维导图文件 腾讯文档思维导图的绘制方法
- Win11怎么更新系统修复 Win11更新系统修复方法
- 汽车之家怎么允许个性化定向推送 汽车之家允许个性化定向推送教程
- 怎么取消wifi万能钥匙的广告 wifi万能钥匙极速版去广告的技巧
- Win11系统自带浏览器不见了怎么办 Win11浏览器找不到了的解决方法
- 支付宝蚂蚁庄园今日答题2022年8月24日答案
- 支付宝蚂蚁庄园今日答题2022年8月23日答案
- 傲软投屏怎么设置AirPlay解码模式 傲软投屏设置AirPlay解码模式教程
- 今日更新推荐
-
儿歌多多苹果手机版v1.5
69.00MB/中文
下载 -
儿歌多多appv1.5
29.00MB/中文
下载 -
爱音乐iphone版v1.5
57.00MB/中文
下载 -
乐视视频苹果版v1.5
25.00MB/中文
下载 -
樱花动漫pc端v1.5
35M/中文
下载 -
奇门遁甲排盘电脑版v1.5
27.6M/中文
下载
- 下载总排行
-
1
瑞星全功能安全软件最新版v1.5
- 瑞星全功能安全软件最新版v1.5
- 立即下载
-
2
360杀毒海外版官方版v6.6.0.1053v6.6.0.1053
- 360杀毒海外版官方版v6.6.0.1053v6.6.0.1053
- 立即下载
-
3
esetnod32antivirusv14.0.22.0
- esetnod32antivirusv14.0.22.0
- 立即下载
-
4
金山毒霸套装版v2018.12.10.100v2018.12.10.100
- 金山毒霸套装版v2018.12.10.100v2018.12.10.100
- 立即下载
-
5
文件夹图标类病毒专杀工具绿色版v2.31最新版v1.5
- 文件夹图标类病毒专杀工具绿色版v2.31最新版v1.5
- 立即下载
-
6
卡巴斯基全方位安全软件v.19.0.0.1088电脑版v.19.0.0.1088
- 卡巴斯基全方位安全软件v.19.0.0.1088电脑版v.19.0.0.1088
- 立即下载
-
7
DrWebCureIT(大蜘蛛杀毒软件)v1.0电脑版v1.0
- DrWebCureIT(大蜘蛛杀毒软件)v1.0电脑版v1.0
- 立即下载
-
8
Avast杀毒软件v20.3.5200免费版v20.3.5200
- Avast杀毒软件v20.3.5200免费版v20.3.5200
- 立即下载
-
9
Wise反恶意软件v2.1中文版v2.1
- Wise反恶意软件v2.1中文版v2.1
- 立即下载
-
10
MajorAVv5.2免费版v5.2
- MajorAVv5.2免费版v5.2
- 立即下载