病毒现象

1. 服务器出现卡顿、CPU飙升
2. 和其他主机的445端口、1433，建立起大量的连接
3. 存在大量Powershell进程
4. 感染MBR扇区
5. 被感染主机的445端口被异常关闭，且防火墙被添加“deny tcp 445”策略，IPsec被添加“win”策略

病毒处置

1. 封堵445端口; 或打永恒之蓝漏洞补丁(https://wukungt.github.io/2019/03/05/Windows%E8%A1%A5%E4%B8%81%E6%9B%B4%E6%96%B0/)、加强主机密码且密码各不相同。

2. 在AF等设备添加规则，限制访问下列域名和IP：
   ftp.ftp0930.host
   pool.minexmr.com
   raw.githubusercontent.com
   wmi.1217bye.host
   own.mysking.info
   js.ftp0930.host
   js.mykings.top
   ftp.ftp0118.info
   ok.mymyxmra.ru
   mbr.kill0604.ru

173.208.139.170
35.182.171.137
45.58.135.106
103.213.246.23
78.142.29.152
74.222.14.61
18.218.14.96
223.25.247.240
223.25.247.152
103.95.28.54
23.88.160.137
81.177.135.35
78.142.29.110
174.128.239.250
66.117.6.174

3. 使用Autoruns，删除启动项：start
   

4. 使用Autoruns，删除计划任务： Mysa、Mysa1、Mysa2、Mysa3、ok
   

5. 使用Autoruns，删除WMI：fuckyoumm4
   

6. 删除病毒母体：C:\Windows\system\my1.bat
   

7.使用EDR终端杀软全盘查杀

8.使用《暗云III专杀工具》对MBR进行清除并重启 ：http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/SystemAidBoxPro.zip

病毒详情

https://www.freebuf.com/vuls/194515.html

病毒现象

1. 服务器出现卡顿、CPU飙升
2. 和其他主机的445端口，建立起大量的连接
3. 存在大量Powershell进程

病毒处置

1. 封堵445端口; 或打永恒之蓝漏洞补丁(https://wukungt.github.io/2019/03/05/Windows%E8%A1%A5%E4%B8%81%E6%9B%B4%E6%96%B0/)、加强主机密码且密码各不相同。

2. 在AF等设备添加规则，限制访问下列域名和IP：
   web4.olukotun.info
   update.7h4uk.com
   info.7h4uk.com
   d4uk.7h4uk.com
   111.90.145.52
   185.234.217.139

3. 使用Autoruns，删除Powershell的WMI：
   

4. 使用Autoruns，删除任务计划 WindowsLogTasks 和 System Log Security Check。
   

5. 使用ProcessHacker，结束如下进程(选中后，右键点击Terminate即可结束进程)：
   a. powershell.exe进程
   b. regsvr32.exe进程
   c. cohernece.exe进程
   

6. 以上步骤结束后，使用杀软全盘查杀病毒文件

病毒现象

1. 服务器出现卡顿、CPU飙升

2. 以下为WatchDogs的判断方式及其命令：
   存在恶意进程watchdogs： ps -ef | grep watchdogs
   存在恶意进程ksoftirqds： ps -ef | grep ksoftirqds
   存在恶意启动项watchdogs： chkconfig | grep watchdogs
   ps、rm等命令被so劫持： ldd which ps | grep libioset.so
   恶意的蠕虫下载计划任务： crontab -l | grep pastebin

3. kthrotlds变种后的特征：
   watchdogs进程变更为kthrotlds
   libioset.so变更为libcset.so
   watchdogs开机启动项名称变更为netdns

病毒处置

1. 使用深信服终端EDR进行查杀
2. 或使用专杀工具查杀(下载链接：https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool/archive/master.zip)
   第一步：将压缩包中的busybox放到/bin/目录下；
   第二步：将clear_kthrotlds.sh和clear.sh 放到/temp/目录下
   第三步：切换到/temp目录下，使用root权限运行： chmod +x clear_kthrotlds.sh && clear.sh && ./clear_kthrotlds.sh && ./clear.sh

病毒详情

https://www.anquanke.com/post/id/172111

病毒现象

1. 黑页文件被隐藏
2. 系统目录存在如下文件:
   c:\WINDOWS\xlkfs.dat
   c:\WINDOWS\xlkfs.dll
   c:\WINDOWS\xlkfs.ini
   c:\WINDOWS\system32\drivers\xlkfs.sys

处置

1. 查看被隐藏的文件：
   记事本打开： c:\WINDOWS\xlkfs.ini

2. 停止服务：
   net stop xlkfs

3. 删除服务：
   sc delete xlkfs

4.删除文件：
c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys

病毒现象

1. 扫描爆破内网基于445端口的SMB服务
2. 服务器出现卡顿、蓝屏
3. 服务器主动访问恶意域名：totonm.com、cake.pilutce.com:443

病毒处置

1. 删除关键病毒文件：
   C:\Windows\System32\rdpkax.xsl （包含所有攻击组件的压缩包）
   C:\Windows\System32\dllhostex.exe （挖矿主体文件）
   C:\Windows\System32\ApplicationNetBIOSClient.dll
   C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll
   C:\Windows\SysWOW64\dllhostex.exe
   C:\Windows\NetworkDistribution

2.删除关键恶意服务：
恶意服务名为以下三个列表中各选一个，然后进行字符串拼接。
字符串列表1为：
Windows、Microsoft、Network、Remote、Function、Secure、Application
字符串列表2为：
Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
字符串列表3为：
Service、Host、Client、Event、Manager、Helper、System
(如: ApplicationNetBIOSClient，其由字符串1 Application + 字符串2 NetBIOS + 字符串3 Client 拼接生成。)

3.直接使用工具彻底查杀：
使用离线EDR进行查杀(下载链接：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip)
同时使用专杀工具查杀(下载链接：http://sec.lz520520.cn:88/data/file/tools/lzAntivirus/wannamine/wannamine&wanncry&powershell.zip)

病毒详情

http://www.sangfor.com.cn/about/source-news-company-news/1294.html?tdsourcetag=s_pcqq_aiomsg

病毒现象

1. 无法下载文件及访问网页、无法使用wget和curl命令
2. 服务器出现卡顿
3. 一个CPU占用较高的vmlinuz进程、3个采用7位随机字符拼凑的进程

病毒处置

1. 快照或备份重要数据后，使用root权限执行以下命令：
   wget http://edr.sangfor.com.cn/tool/clear_seasame.sh && chmod +x clear_seasame.sh && ./clear_seasame.sh
2. 也可使用深信服EDR终端杀软进行查杀

病毒详情

https://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=2650237699&idx=1&sn=09d4a96932d79ea55ca49fcaa727f8ae&chksm=f3e2d177c4955861fb632a2c06e3dac7ec9ac17e44b6f3728ded9ba72c4183c760674d43f6c0&mpshare=1&scene=1&srcid=0424z3dmDHVltQNfSnpO6U7v&key=906dea2828a54f86cd8b2ed2a9c2d2c7e831beb27ecc24c51538f43101f28a3a382b59f1dd0e37ad285ac88d4f29add5b80307fc35991056d91d3919c8e003351739392b593a2224682c0625d5ec6eed&ascene=1&uin=Njk0NDg5NDM2&devicetype=Windows+10&version=62060739&lang=zh_CN&pass_ticket=gXoLPsIwqk%2FXrA11jATExB%2Bm8llVQukwMM2TbY5LTtnyz6zxZ2yMJ5LrqGl6TDu7

病毒现象

对外DOS攻击

病毒处置

1. 删除：/tmp/gates.lod
2. 删除：/tmp/moni.lod
3. 删除：/etc/init.d/DbSecuritySpt
4. 删除：/etc/init.d/selinux
5. 删除被篡改的命令文件(篡改大小后均为1.2M)：
6. rm -f /usr/sbin/lsof
7. rm -f /usr/sbin/ss
8. rm -f /bin/netstat
9. rm -f /bin/ps
10. 替换为干净文件：
11. cp /usr/bin/dpkgd/losf /usr/sbin/lsof
12. cp /usr/bin/dpkgd/netstat /bin/netstat
13. cp /usr/bin/dpkgd/ps /bin/ps
14. cp /usr/bin/dpkgd/ss /usr/sbin/ss
15. 降权恶意文件：
16. chmod 000 /usr/bin/bsd-port/conf.n
17. chmod 000 /usr/bin/bsd-port/conf.n
18. chmod 000 /usr/bin/bsd-port/getty
19. chmod 000 /usr/bin/bsd-port/getty.lock
20. chmod 000 /usr/bin/.sshd
21. chmod 000 /etc/rc.d/init.d/DbSecuritySpt
22. chmod 000 /etc/rc.d/rc*.d/S97DbSecuritySpt
23. chmod 000 /etc/rc.d/init.d/selinux
24. chmod 000 /etc/rc.d/rc*.d/S99selinux

病毒详情

https://www.360zhijia.com/anquan/426367.html

病毒现象

U盘里的文件变为快捷方式，电脑重启

病毒处置

1. 使用”金山U盘专杀工具”查杀：http://cu003.www.duba.net/duba/tools/dubatools/usb/kavudisk.exe
2. 使用杀软进行全盘查杀病毒，并隔离病毒。

显示隐藏文件及恢复隐藏属性的方法：

1. 开始>运行>gpedit.msc
2. 用户配置 > 管理模块 > windows组件 > windows资源管理器 > 从”工具”菜单删除”文件夹选项”菜单,改为”已禁用”。
3. 文件夹和搜索选项即可显示，如图：
   
4. 按下图选择后，点击保存即可显示被隐藏的文件：
   
5. 如果想将被改为“隐藏”的文件夹恢复为正常显示，将下列脚本保存为bat后缀的文件，并放在需要恢复的目录下(或U盘内)进行恢复。脚本如下：
   :: BatchGotAdmin
   :————————————-
   REM –> Check for permissions

   nul 2>&1 “%SYSTEMROOT%\system32\cacls.exe” “%SYSTEMROOT%\system32\config\system”
   REM –> If error flag set, we do not have admin.
   if ‘%errorlevel%’ NEQ ‘0’ (
   echo Requesting administrative privileges…
   goto UACPrompt
   ) else ( goto gotAdmin )
   :UACPrompt
   echo Set UAC = CreateObject^(“Shell.Application”^) > “%temp%\getadmin.vbs”
   echo UAC.ShellExecute “%~s0”, “”, “”, “runas”, 1 >> “%temp%\getadmin.vbs”
   “%temp%\getadmin.vbs”
   exit /B
   :gotAdmin
   if exist “%temp%\getadmin.vbs” ( del “%temp%\getadmin.vbs” )
   pushd “%CD%”
   CD /D “%~dp0”
   :————————————–
   for /f “delims=?” %%a in (‘dir /a /b’) do attrib -a -s -h -r “%%a”
   pause>nul
   exit

病毒详情

https://blog.csdn.net/Lulu11235813/article/details/52778942

病毒现象

被感染主机，系统中的文件夹全部变成了大小相同的“应用程序”exe类文件，如图所示：

“文件夹选项”变灰无法选择：

病毒处置

1. 结束进程：样式为文件夹图标的C:\ProgramData\wmimgmt.exe
2. 使用杀软进行全盘查杀病毒，并隔离病毒

显示隐藏文件及恢复隐藏属性的方法：

1. 开始>运行>gpedit.msc
2. 用户配置 > 管理模块 > windows组件 > windows资源管理器 > 从”工具”菜单删除”文件夹选项”菜单,改为”已禁用”。
3. 文件夹和搜索选项即可显示，如图：
   
4. 按下图选择后，点击保存即可显示被隐藏的文件：
   
5. 如果想将被改为“隐藏”的文件夹恢复为正常显示，将下列脚本保存为bat后缀的文件，并放在需要恢复的目录下进行恢复。脚本如下：
   :: BatchGotAdmin
   :————————————-
   REM –> Check for permissions

   nul 2>&1 “%SYSTEMROOT%\system32\cacls.exe” “%SYSTEMROOT%\system32\config\system”
   REM –> If error flag set, we do not have admin.
   if ‘%errorlevel%’ NEQ ‘0’ (
   echo Requesting administrative privileges…
   goto UACPrompt
   ) else ( goto gotAdmin )
   :UACPrompt
   echo Set UAC = CreateObject^(“Shell.Application”^) > “%temp%\getadmin.vbs”
   echo UAC.ShellExecute “%~s0”, “”, “”, “runas”, 1 >> “%temp%\getadmin.vbs”
   “%temp%\getadmin.vbs”
   exit /B
   :gotAdmin
   if exist “%temp%\getadmin.vbs” ( del “%temp%\getadmin.vbs” )
   pushd “%CD%”
   CD /D “%~dp0”
   :————————————–
   for /f “delims=?” %%a in (‘dir /a /b’) do attrib -a -s -h -r “%%a”
   pause>nul
   exit

病毒详情

http://sec.sangfor.com.cn/events/230.html

查看补丁

在命令行界面键入 systeminfo 命令

得到相应的补丁号

可以看到没有打上ms17010的补丁。判断主机未打勒索病毒补丁的方式是：是否存在KB40开头的补丁编号。

官网下载补丁

这里以ms17010 为例子：访问地址

不同操作系统打不上补丁解决方法

部分操作系统在打MS17-010的补丁时，由于未安装对应的补丁的前置补丁导致系统不能够安装漏洞补丁。详细对应版本补丁前置补丁如下图：

选择对应的系统版本

以windows 7 64位为例，在结果页面选择相应版本的补丁选择 ‘download’ 下载补丁

下载补丁后打开补丁安装补丁

选择重启生效补丁

查看补丁已经安装成功了

ms08-067的补丁下载页面也差不多类似，只是下载的界面更为简洁明了

Windows 7 SP1 前置补丁：

1. kb947821

Windows server 2008 r2前置补丁：

1. KB976932

windows server 2012 r2前置补丁：

1. KB3021910
2. KB2919355

补丁安装的风险

因为主机安装补丁后重启才会生效，因此极小概率主机无法正常重启或重启时间较长，而导致影响业务。