挖礦病毒漏洞

『壹』 比特幣病毒是什麼來的

根據網路安全機構通報，這是不法分子利用NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。「永恆之藍」會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程式控制制木馬、虛擬貨幣挖礦機等惡意程序。

1、為計算機安裝最新的安全補丁，微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請盡快安裝此安全補丁；對於windows
XP、2003等微軟已不再提供安全更新的機器，可使用360「NSA武器庫免疫工具」檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。

2、關閉445、135、137、138、139埠，關閉網路共享。

3、強化網路安全意識：不明鏈接不要點擊，不明文件不要下載，不明郵件不要打開……

4、盡快（今後定期）備份自己電腦中的重要文件資料到移動硬碟、U盤，備份完後離線保存該磁碟。

5、建議仍在使用windows xp， windows 2003操作系統的用戶盡快升級到 window 7/windows 10，或
windows 2008/2012/2016操作系統。

『貳』 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。

『叄』 HEUR:TrOojan.Win32.Miner.gen是什麼病毒

從病毒名稱看，這是挖礦病毒。利用計算機的計算能力，來進行獲得虛擬貨幣。

病毒運行過程中會大量佔用計算機資源，導致計算機卡慢。

建議勤打補丁，防止病毒利用漏洞傳播。還可以安裝360安全衛士，默認開啟挖礦木馬防護。

『肆』 top cpu飆高,中了挖礦程序----解決方法

1.發現cpu異常,查看對應的進程信息

2.查看進程發現是挖礦進程在執行

3.確定是挖礦病毒,查看進程的執行文件鏈接到哪裡,發現是jenkins的工作目錄,最後結果發現是jenkins的漏洞導致自動創建CI計劃,進行啟動挖礦腳本

4.查看虛機密碼是否被破解登錄

5.查找挖礦文件

6.檢查定時任務腳本

jenkins CVE-2018-1999002 漏洞修復: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隱患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/

『伍』 挖礦木馬的傳播途徑是什麼

挖礦木馬是依賴漏洞、外掛程序、網頁掛馬、弱口令等途徑進行傳播的，騰訊電腦管家的2017年網路安全報告有說這個問題。

『陸』 WannaMine挖礦木馬手工處理

關於病毒及木馬的問題，都說老生常談的了，這里就不講逆向分析的東西，網上畢竟太多。就寫一下WannaMine2.0到4.0的手工處理操作。確實，很多時候都被問的煩了。

WannaCry勒索與WannaMine挖礦，雖然首次發生的時間已經過去很久了，但依舊能在很多家內網見到這兩個，各類殺毒軟體依舊無法清除干凈，但可以阻斷外聯及刪除病毒主體文件，但依然會殘留一些。此種情況下，全流量分析設備依舊可以監測到嘗試外聯，與445埠掃描行為。

WannaCry 在使用殺毒軟體及手動清除攻擊組件所在目錄後，仍需手動cmd命令刪除兩個系統服務sc delete mssecsvc2.0與mssecsvc2.1。

WannaMine 全系使用「永恆之藍」漏洞，在區域網內快速傳播。且高版本會在執行成功後完全清除舊版本。

下圖為WannaCry與WannaMine使用的永恆之藍攻擊組件相關文件。

WannaMine2.0版本

該版本釋放文件參考如下：
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 刪除系統服務名與DLL文件對應的wmassrv。

WannaMine3.0版本

該版本釋放文件參考如下：

C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll

需刪除主服務snmpstorsrv與UPnPHostServices計劃任務

WannaMine4.0版本

該版本釋放文件參考如下：

C:WindowsSystem32 dpkax.xsl

C:WindowsSystem32dllhostex.exe

C:.dll

C:.dll

C:WindowsSysWOW64dllhostex.exe

C:WindowsNetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名隨機組合參考• 第一部分：Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分：Service、Host、Client、Event、Manager、Helper、System •rdp壓縮文件隨機字元串後綴：xml、log、dat、xsl、ini、tlb、msc</pre>

關於Windows下計劃任務與啟動項查看方式，建議在使用PCHunter、Autoruns、ProcessHacker等工具無法發現異常的情況下，可以到注冊表下查看。

注冊表下排查可疑的計劃任務

HKEY_LOCAL_

發現可疑項可至tasks下查看對應ID的Actions值

HKEY_LOCAL_ asks[圖片上傳失敗...(image-e8f3b4-1649809774433)]

計劃任務文件物理目錄
C:

新變種病毒有依靠 WMI 類屬性存儲 ShellCode 進行攻擊，Autoruns可以用來檢查WMI與啟動項並進行刪除，在手動刪除病毒相關計劃任務與啟動項時，記得刪除相應的文件與注冊表ID對應項。

注冊表下查看開機啟動項
HKEY_CURRENT_或runOnce [圖片上傳失敗...(image-8a357b-1649809774432)]