0x00 前言

　　作為一個(gè)運(yùn)維工程師，而非一個(gè)專業(yè)的病毒分析工程師，遇到了比較復(fù)雜的病毒怎么辦？別怕，雖然對(duì)二進(jìn)制不熟，但是依靠系統(tǒng)運(yùn)維的經(jīng)驗(yàn)，我們可以用自己的方式來解決它。

0x01 感染現(xiàn)象

1、向大量遠(yuǎn)程IP的445端口發(fā)送請(qǐng)求

?

2、使用各種殺毒軟件查殺無果，雖然能識(shí)別出在C:\Windows\NerworkDistribution中發(fā)現(xiàn)異常文件，但即使刪除NerworkDistribution后，每次重啟又會(huì)再次生成。

在查詢了大量資料后，找到了一篇在2018年2月有關(guān)該病毒的報(bào)告：

NrsMiner：一個(gè)構(gòu)造精密的挖礦僵尸網(wǎng)絡(luò)

https://www.freebuf.com/articles/system/162874.html

根據(jù)文章提示，主控模塊作為服務(wù)“Hyper-VAccess Protection Agent Service”的ServiceDll存在。但在用戶的計(jì)算機(jī)并未找到該服務(wù)。

文章報(bào)道已然過去了一年多，這個(gè)病毒似乎是升級(jí)啦，于是有了如下排查過程。

0x02 事件分析

A、網(wǎng)絡(luò)鏈接

通過現(xiàn)象，找到對(duì)外發(fā)送請(qǐng)求的進(jìn)程ID：4960

B、進(jìn)程分析

進(jìn)一步通過進(jìn)程ID找到相關(guān)聯(lián)的進(jìn)程，父進(jìn)程為1464

找到進(jìn)程ID為1464的服務(wù)項(xiàng)，逐一排查，我們發(fā)現(xiàn)服務(wù)項(xiàng)RemoteUPnPService存在異常。

C、刪除服務(wù)

選擇可疑服務(wù)項(xiàng)，右鍵屬性，停止服務(wù)，啟動(dòng)類型：禁止。

停止并禁用服務(wù)，再清除NerworkDistribution目錄后，重啟計(jì)算機(jī)。異常請(qǐng)求和目錄的現(xiàn)象消失。

又排查了幾臺(tái)，現(xiàn)象一致，就是服務(wù)項(xiàng)的名稱有點(diǎn)變化。

0x03 病毒清除

NrsMiner挖礦病毒清除過程如下：

1、 停止并禁用可疑的服務(wù)項(xiàng)，服務(wù)項(xiàng)的名稱會(huì)變，但描述是不變的，這給我。

　　可疑服務(wù)項(xiàng)描述：Enables a common interface and object model for the ?Remote UPnP Service to access

　　刪除服務(wù)項(xiàng)：Sc delete? RemoteUPnPService

2、? 刪除C:\Windows\NerworkDistribution目錄

3、? 重啟計(jì)算機(jī)

4、? 使用殺毒軟件全盤查殺

5、? 到微軟官方網(wǎng)站下載對(duì)應(yīng)操作系統(tǒng)補(bǔ)丁，下載鏈接：

　　https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010

?

推薦閱讀：?

Window應(yīng)急響應(yīng)（一）：FTP暴力破解

Window應(yīng)急響應(yīng)（二）：蠕蟲病毒

Window應(yīng)急響應(yīng)（三）：勒索病毒

Window應(yīng)急響應(yīng)（四）：挖礦病毒

Window應(yīng)急響應(yīng)（五）：ARP病毒

Window應(yīng)急響應(yīng)（六）：NesMiner挖礦病毒

轉(zhuǎn)載于:https://www.cnblogs.com/xiaozi/p/10845635.html

總結(jié)

以上是生活随笔為你收集整理的Window应急响应（六）：NesMiner挖矿病毒的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。