0x00 前言

　　作為一個運維工程師，而非一個專業(yè)的病毒分析工程師，遇到了比較復(fù)雜的病毒怎么辦？別怕，雖然對二進制不熟，但是依靠系統(tǒng)運維的經(jīng)驗，我們可以用自己的方式來解決它。

0x01 感染現(xiàn)象

1、向大量遠(yuǎn)程IP的445端口發(fā)送請求

?

2、使用各種殺毒軟件查殺無果，雖然能識別出在C:\Windows\NerworkDistribution中發(fā)現(xiàn)異常文件，但即使刪除NerworkDistribution后，每次重啟又會再次生成。

在查詢了大量資料后，找到了一篇在2018年2月有關(guān)該病毒的報告：

NrsMiner：一個構(gòu)造精密的挖礦僵尸網(wǎng)絡(luò)

https://www.freebuf.com/articles/system/162874.html

根據(jù)文章提示，主控模塊作為服務(wù)“Hyper-VAccess Protection Agent Service”的ServiceDll存在。但在用戶的計算機并未找到該服務(wù)。

文章報道已然過去了一年多，這個病毒似乎是升級啦，于是有了如下排查過程。

0x02 事件分析

A、網(wǎng)絡(luò)鏈接

通過現(xiàn)象，找到對外發(fā)送請求的進程ID：4960

B、進程分析

進一步通過進程ID找到相關(guān)聯(lián)的進程，父進程為1464

找到進程ID為1464的服務(wù)項，逐一排查，我們發(fā)現(xiàn)服務(wù)項RemoteUPnPService存在異常。

C、刪除服務(wù)

選擇可疑服務(wù)項，右鍵屬性，停止服務(wù)，啟動類型：禁止。

停止并禁用服務(wù)，再清除NerworkDistribution目錄后，重啟計算機。異常請求和目錄的現(xiàn)象消失。

又排查了幾臺，現(xiàn)象一致，就是服務(wù)項的名稱有點變化。

0x03 病毒清除

NrsMiner挖礦病毒清除過程如下：

1、 停止并禁用可疑的服務(wù)項，服務(wù)項的名稱會變，但描述是不變的，這給我。

　　可疑服務(wù)項描述：Enables a common interface and object model for the ?Remote UPnP Service to access

　　刪除服務(wù)項：Sc delete? RemoteUPnPService

2、? 刪除C:\Windows\NerworkDistribution目錄

3、? 重啟計算機

4、? 使用殺毒軟件全盤查殺

5、? 到微軟官方網(wǎng)站下載對應(yīng)操作系統(tǒng)補丁，下載鏈接：

　　https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010

?

推薦閱讀：?

Window應(yīng)急響應(yīng)（一）：FTP暴力破解

Window應(yīng)急響應(yīng)（二）：蠕蟲病毒

Window應(yīng)急響應(yīng)（三）：勒索病毒

Window應(yīng)急響應(yīng)（四）：挖礦病毒

Window應(yīng)急響應(yīng)（五）：ARP病毒

Window應(yīng)急響應(yīng)（六）：NesMiner挖礦病毒

轉(zhuǎn)載于:https://www.cnblogs.com/xiaozi/p/10845635.html

總結(jié)

以上是生活随笔為你收集整理的Window应急响应（六）：NesMiner挖矿病毒的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。