PowershellMiner无文件挖矿

病毒现象

  1. 服务器存在卡顿和外联异常IP等现象。
  2. 存在powershell.exe进程。

病毒处置

  1. 使用Autoruns工具(微软官网可下),选择WMI,将该WMI启动项删除(该项底部详细栏有“SELECT * FROM __InstanceModificationEvent WITHIN 5600”)。
  2. 打开“任务管理器”,将Powershell宿主进程杀掉即可。
  3. 修补漏洞:打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。
  4. 修改密码:如果主机账号密码比较弱,建议重置高强度的密码。

病毒详情

http://sec.sangfor.com.cn/events/107.html