※ 引述《Crushredkiss (KappaOuO)》之铭言:
: http://i.imgur.com/ubxJjxj.jpg
: 我C碟Windows资料夹底下目前出现这个
: 而去防毒软件看之后发现
: http://i.imgur.com/EfVVbhh.jpg
: 我电脑在5/7就把item.dat挡下来了
: 目前电脑是没有异样但高度怀疑是目标了
: 我是Windows7,请问大神们这样有防堵的机会吗
: 有参考上面i大的文章 #1P5amuty 关闭SMBv1协定了
前几天帮朋友装Bitdefender也有扫到
他没更新win7,应该是透过SMB漏洞感染
本来以为删掉就没事
结果之后每三小时就跳Web Threat Blocked通知
显示scrcons.exe执行并试着连线
wmi. mykings. top:8888/test.htm1
wmi. mykings. top:8888/kill.htm1
防毒更新后再扫也没有异状
查了google才发现是WMI脚本劫持
(常见于浏览器首页绑架,防毒扫不到)
就是利用WMI脚本定时执行
建立工作排程下载木马
↑这边有装防毒应该都会侦测到
只是抓不到源头的WMI脚本
才会一直定时执行下载木马…
解法很简单:
下载微软 Autoruns
把WMI的 fuckyoumm2_consumer 脚本删掉
再把工作排程 Mysa 删掉
(名称可能不同就检查执行内容)
顺便检查启动项目有没有怪东西
下载微软 Process Explorer
检查程序中有没有 rundll32.exe 挂载 item.dat 把他kill掉
检查 c:\windows\debug\ 删除 item.dat
收工
这只木马原本好像是透过SQL注入
1月时就被大蜘蛛和卡巴收录病毒库
到4月底SMB漏洞改用WMI脚本劫持才比较多案例
但不像wannacry主动攻击,中的人也不多
而且下载的是已经入库的木马
有装防毒顶多就是定时扫到跳通知 XD
有类似症状的记得检查WMI
相关资料:
https://vms.drweb.com/virus/?i=14934685
New(ish) Mirai Spreader Poses New Risks
https://goo.gl/N1o9IL
Vinc's Blog windows应急响应(20170503)
https://goo.gl/2JSLoM
EternalBlue Exploit Actively Used to Deliver
Remote Access Trojans
https://goo.gl/JWpzAA