记一次手工清除挖矿病毒WannaMine V4.0的经历

[作者：byeyear    邮箱：byeyear@hotmail.com    转载请注明]

前两天公司信息安全处通知我的计算机存在永恒之蓝漏洞并已被病毒感染，使用多方杀软及专杀工具均无法有效清除，遂设法进行手工清除。

在被感染计算机上进行分析，对比被感染计算机和未感染计算机系统目录内容，初步测试后可确定该病毒较为明显的特征如下：

在Windows目录下建立文件夹NetworkDistribution，该目录下存放的是进行感染所需的文件，感染完成后不再需要；

在Windows\system32目录下建立文件dllhostex.exe，随系统启动，删除后自动恢复，初步判断存在隐藏进程或伪装系统服务。

根据以上特征在网上搜索病毒信息，可知该病毒注册了系统服务，其作为服务运行的主文件名（dll文件）按如下规则构造：

第一字符串：Windows、Microsoft、Network、Remote、Function、Secure、Application

第二字符串：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP

第三字符串：Service、Host、Client、Event、Manager、Helper、System

从以上三组字符串中随机各取其一组合成最终文件名。例如WindowsUpdateService.dll、MicrosoftNetBIOSEvent.dll等。

 

根据以上信息，制定并执行如下清除步骤：、

0. 断开网络连接

1. 进入安全模式

2. 删除NetworkDistribution文件夹

3. 删除dllhostex.exe文件

4. 建立一个空NetworkDistribution文件夹，并将所有权限设置为“拒绝”；

5. 建立一个空dllhostex.exe文件，并将所有权限设置为“拒绝”；

6. 使用Everything文件名搜索工具，按如下正则表达式搜索符合条件的文件名：

(Windows|Microsoft|Network|Remote|Function|Secure|Application)(Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP)(Service|Host|Client|Event|Manager|Helper|System)

7. 删除符合搜索条件的文件；

8. 根据上述文件，删除注册表中对应服务键；

9. 防火墙禁止如下端口：137-139，445

经过以上处理后，公司信息安全处未再监测到我计算机上的异常活动。可能还存在病毒残余，随它去了。

 

教训：及时更新补丁；关闭易引发问题的端口。

 

作者简介：长江中下游地区十八线小县城创业板民营企业大叔年龄技术员一枚，工作与研究方向为计算机接口技术、数字信号处理、嵌入式系统等。