關于WmSrvMiner新型挖礦病毒預警

一、 概要

近期，出現一種利用永恒之藍漏洞的新型病毒（WmSrvMiner）。該病毒在主機中偽裝為svchost.exe，通過感染主機設備進行挖礦，主要表現為異常卡頓，嚴重影響主機性能和業務正常運行。由于該病毒集成多種病毒模塊，查殺難度較高，極易導致內網橫向傳播擴散。目前，據第三方機構推測，感染主機數量超過15萬。

請涉及威脅的租戶根據自身業務情況，采取防護措施。

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

開啟了135、139、445端口SMB網絡共享協議的Windows系統（包括個人版和服務器版）。

四、排查和處置方法

排查方法：

1. 檢查系統是否安裝了最近系統漏洞補丁包；

2. 檢查系統是否開啟了445端口的SMB網絡共享協議，或者不必要的共享端口；

3. 檢查內網是否有主機訪問惡意鏈接（103.55.13.68:13333）；

4. 檢查系統是否存在異常運行的svchost.exe；

5. 檢查系統C:\Windows\security\IIS文件目錄是否存在永恒之藍（Eternalblue.dll）、永恒浪漫(mance.exe)等攻擊程序。

處置方案：

1.?隔離感染主機：已中毒計算機盡快隔離，關閉所有網絡連接，禁用網卡；

2. 切斷傳播途徑：關閉潛在終端的445等網絡共享端口，關閉異常的外聯訪問；

3. 查找攻擊源，確認感染數量：手工抓包分析或借助態勢感知類產品分析，確認全網感染數量；

4. 查殺病毒：可使用以下工具進行查殺（http://edr.sangfor.com.cn/tool/SfabAntiBot.zip）, 或者可使用華為云防病毒工具進行查殺（推薦使用華為云市場軟件）；

5. 在網絡出口封堵惡意鏈接（103.55.13.68:13333）訪問，阻止惡意程序下載攻擊組件；

6. 提高密碼難度：如果主機賬號密碼為簡單密碼，建議重置高強度的密碼。

五、安全建議

1. 不從不明網站下載相關的軟件，不要點擊來源不明的郵件以及附件；

2. 及時給電腦打補丁，修復漏洞；

3. 修改密碼：設置主機賬號密碼為高強度的密碼；

4. 對重要的數據文件定期進行非本地備份；

5. 安裝專業的第三方反病毒軟件（推薦使用華為云市場軟件）；

6. 關閉不必要的文件共享權限以及關閉不必要的端口，如： 135、139、445等。

注意：修復漏洞前請將資料備份，并進行充分測試。

通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。