Window应急响应(六):NesMiner挖矿病毒
0x00 前言
作为一个运维工程师,而非一个专业的病毒分析工程师,遇到了比较复杂的病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它。
0x01 感染现象
1、向大量远程IP的445端口发送请求
2、使用各种杀毒软件查杀无果,虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件,但即使删除NerworkDistribution后,每次重启又会再次生成。
在查询了大量资料后,找到了一篇在2018年2月有关该病毒的报告:
NrsMiner:一个构造精密的挖矿僵尸网络
https://www.freebuf.com/articles/system/162874.html
根据文章提示,主控模块作为服务“Hyper-VAccess Protection Agent Service”的ServiceDll存在。但在用户的计算机并未找到该服务。
文章报道已然过去了一年多,这个病毒似乎是升级啦,于是有了如下排查过程。
0x02 事件分析
A、网络链接
通过现象,找到对外发送请求的进程ID:4960
B、进程分析
进一步通过进程ID找到相关联的进程,父进程为1464
找到进程ID为1464的服务项,逐一排查,我们发现服务项RemoteUPnPService存在异常。
C、删除服务
选择可疑服务项,右键属性,停止服务,启动类型:禁止。
停止并禁用服务,再清除NerworkDistribution目录后,重启计算机。异常请求和目录的现象消失。
又排查了几台,现象一致,就是服务项的名称有点变化。
0x03 病毒清除
NrsMiner挖矿病毒清除过程如下:
1、 停止并禁用可疑的服务项,服务项的名称会变,但描述是不变的,这给我。
可疑服务项描述:Enables a common interface and object model for the Remote UPnP Service to access
删除服务项:Sc delete RemoteUPnPService
2、 删除C:\Windows\NerworkDistribution目录
3、 重启计算机
4、 使用杀毒软件全盘查杀
5、 到微软官方网站下载对应操作系统补丁,下载链接:
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010
推荐阅读:
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 2025年我用 Compose 写了一个 Todo App
· 张高兴的大模型开发实战:(一)使用 Selenium 进行网页爬虫