无意中发现电脑中了 WannaCry 的变种病毒, 具体现象为 cmd 命令行 netstat -an |find ":445" 有大量从本机外连其他机器 445 端口的 TCP 连接 WannaCry 之前的版本会释放勒索程序对主机进行勒索, 但变种中该程序在主流 Windows 平台下运行失败, 无法进行勒索操作但如果内网中多个主机感染了该病毒, 病毒会互相之间进行永恒之蓝漏洞攻击, 该漏洞的利用使用了堆喷射技术, 该技术漏洞利用并不稳定, 有小概率出现漏洞利用失败, 在未打补丁利用失败的情况, 会造成被攻击主机蓝屏的现象
处理步骤:
一安装 MS17-010 补丁补丁下载地址: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
二使用深信服 WannaCry 专杀工具进行杀毒
如上 2 步完成后本以为万事大吉, 可是观察发现仍然有大量从本机发往同一网段其他机器 445 端口 TCP 连接出现如此可见病毒并未完全被清除, 认真想想虽然我们安装了补丁仅仅是起到了不被再次感染的作用所以我再次打开任务管理器又发现几个可疑进程直接强制结束, 发现根本杀不掉之后又找到进程文件所在目录直接强制删除发现也不管用, 因为该文件被进程正在调用中沉思片刻之后果断安装 360 杀毒进行扫描查杀最后搞定不得不承认 360 很牛币啊哈哈 XD.
被 360 查杀的遗留病毒目录和文件:
- C:\Windows\SecureBootThemes\
- C:\Windows\System32\SecureBootThemes\spoolsv.exe
- C:\Windows\System32\TrustedHostServices.exe
- C:\Windows\System32\tpmagentservice.dll
参考文章:
- http://sec.sangfor.com.cn/events/97.html
- http://www.freebuf.com/news/139809.html
来源: http://www.bubuko.com/infodetail-2498574.html