海内首例!坚信服发明WannaMine最新变种正在群体挖矿!

时间:2018-05-21 18:13:58 来源:
默认
特大
宋体
黑体
雅黑
楷体

  海内首例与国际首例发明时光相距仅为2天,传播快捷,将来很有可能感染面跟原始变种WannaMine一样惊人!

  近日,国内某企业疑内网有主机受病毒感染,通过深信服终端检测平台(EDR产品)进行全网扫描后发现存在大量主机感染雷同病毒。经由深信服保险专家深刻分析,发现这是一种最新型的WannaMine变种。该变种基于WannaMine改革,参加了一些免杀技巧,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散),深信服将其命名WannaMine2.0,同时制订了具体的应答办法。

  目前,该企业为国内发现感染WannaMine2.0的首例,发现时间与国际上首例发现时间相距仅为2天,传播倏地,未来很有可能感染面跟原始变种WannaMine一样惊人!

  此次 WannaMine 2.0变种,沿用了WannaMine的精心设计,波及的病毒模块多,感染面广。与此同时,该变种具备免杀功效,查杀难度高。一旦呈现主机受沾染,利用“永恒之蓝”漏洞,终极将造成局域网内大批主机都被感染并进行挖矿!

  2.spoolsv.exe对局域网进行445端口扫描,断定可攻打的内网主机。同时启动破绽袭击程序svchost.exe跟spoolsv.exe(另外一个病毒文件)。

  局域网流传上,依然是沿用WannaMine的机制。通过spoolsv.exe和svchost.exe配合,利用永恒之蓝漏洞进行攻击,实现病毒自我复制到目的主机上。

  有别于WannaMine, 此次变种2.0删除了自更新机制,包含外网更新和局域网更新两个方面。另外,也不再创立微型Web服务端,供内网无奈上网的主机下载更新。象征着感染主机不再做病毒更新。

  WannaMine2.0沿用WannaMine的套路,同样是瞄准了大范围的群体挖矿(应用了“永恒之蓝”漏洞的方便,使之在局域网内迅猛传布),矿池站点任然指向nicehash.com、minergate.com。

  2、堵截传播道路:关闭潜在终真个SMB 445等网络共享端口,封闭异样的外联拜访。深佩服下一代防火墙用户,可开启IPS和僵尸网络功能进行封堵,其中僵尸网络辨认库请进级到20180509及以上版本。

  4、查杀病毒:推举应用坚信服EDR进行病毒查杀,疾速剖析风行事件,实现终端要挟闭环处理响应。

推荐文章: 相关的主题文章:
Copyright 2012-2018 www.sjjnz.com 版权所有 关于我们 | 广告服务 | 诚聘英才 | 联系我们 | 友情链接 | 免责申明