挖矿病毒漏洞

『壹』 比特币病毒是什么来的

根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁；对于windows
XP、2003等微软已不再提供安全更新的机器，可使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

2、关闭445、135、137、138、139端口，关闭网络共享。

3、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开……

4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。

5、建议仍在使用windows xp， windows 2003操作系统的用户尽快升级到 window 7/windows 10，或
windows 2008/2012/2016操作系统。

『贰』 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

『叁』 HEUR:TrOojan.Win32.Miner.gen是什么病毒

从病毒名称看，这是挖矿病毒。利用计算机的计算能力，来进行获得虚拟货币。

病毒运行过程中会大量占用计算机资源，导致计算机卡慢。

建议勤打补丁，防止病毒利用漏洞传播。还可以安装360安全卫士，默认开启挖矿木马防护。

『肆』 top cpu飙高,中了挖矿程序----解决方法

1.发现cpu异常,查看对应的进程信息

2.查看进程发现是挖矿进程在执行

3.确定是挖矿病毒,查看进程的执行文件链接到哪里,发现是jenkins的工作目录,最后结果发现是jenkins的漏洞导致自动创建CI计划,进行启动挖矿脚本

4.查看虚机密码是否被破解登录

5.查找挖矿文件

6.检查定时任务脚本

jenkins CVE-2018-1999002 漏洞修复: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隐患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/

『伍』 挖矿木马的传播途径是什么

挖矿木马是依赖漏洞、外挂程序、网页挂马、弱口令等途径进行传播的，腾讯电脑管家的2017年网络安全报告有说这个问题。

『陆』 WannaMine挖矿木马手工处理

关于病毒及木马的问题，都说老生常谈的了，这里就不讲逆向分析的东西，网上毕竟太多。就写一下WannaMine2.0到4.0的手工处理操作。确实，很多时候都被问的烦了。

WannaCry勒索与WannaMine挖矿，虽然首次发生的时间已经过去很久了，但依旧能在很多家内网见到这两个，各类杀毒软件依旧无法清除干净，但可以阻断外联及删除病毒主体文件，但依然会残留一些。此种情况下，全流量分析设备依旧可以监测到尝试外联，与445端口扫描行为。

WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后，仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。

WannaMine 全系使用“永恒之蓝”漏洞，在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。

下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。

WannaMine2.0版本

该版本释放文件参考如下：
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 删除系统服务名与DLL文件对应的wmassrv。

WannaMine3.0版本

该版本释放文件参考如下：

C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll

需删除主服务snmpstorsrv与UPnPHostServices计划任务

WannaMine4.0版本

该版本释放文件参考如下：

C:WindowsSystem32 dpkax.xsl

C:WindowsSystem32dllhostex.exe

C:.dll

C:.dll

C:WindowsSysWOW64dllhostex.exe

C:WindowsNetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名随机组合参考• 第一部分：Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分：Service、Host、Client、Event、Manager、Helper、System •rdp压缩文件随机字符串后缀：xml、log、dat、xsl、ini、tlb、msc</pre>

关于Windows下计划任务与启动项查看方式，建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下，可以到注册表下查看。

注册表下排查可疑的计划任务

HKEY_LOCAL_

发现可疑项可至tasks下查看对应ID的Actions值

HKEY_LOCAL_ asks[图片上传失败...(image-e8f3b4-1649809774433)]

计划任务文件物理目录
C:

新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击，Autoruns可以用来检查WMI与启动项并进行删除，在手动删除病毒相关计划任务与启动项时，记得删除相应的文件与注册表ID对应项。

注册表下查看开机启动项
HKEY_CURRENT_或runOnce [图片上传失败...(image-8a357b-1649809774432)]