本文作者:Hy221

2018.12.14爆发的“驱动人生”木马排查、清理和防范方法

Hy221 4周前 (12-22) 562
摘要: 问题分析2018.12.14 下午有维护大师用户请求维护大师技术支持协助,问题现象是其维护的网吧突然批量自动重启,并且在短时间内自动重启了多次。我找到几个自动重启过的服务器,看了下...

问题分析

2018.12.14 下午有维护大师用户请求维护大师技术支持协助,问题现象是其维护的网吧突然批量自动重启,并且在短时间内自动重启了多次。

我找到几个自动重启过的服务器,看了下服务器设置了蓝屏写入“核心内存转储”,并设置了自动重启,于是看了 C:\Windows\Minidump 文件夹内有新生成了几个蓝屏dump文件.

dump文件下载 121418-22058-01.rar

驱动人生木马爆发

使用永恒之蓝漏洞扫描工具(EternalBlues)对服务器进行测试,果然是存在漏洞的。

查看系统安全日志,发现2分钟会产生一次来自127.0.0.1的安全审核失败的日志,于是怀疑本地有木马在进行内网爆破或感染,使用 process explorer 和 pchunter 对服务器进程和系统服务、启动项、计划任务进行检查,发现一个叫  svhost.exe 的进程,路径: C:\Windows\SysWOW64\svhost.exe ,该进程注册为了一个叫 “Ddriver” 的系统服务,由系统服务进程 services.exe 启动.   svhost.exe 运行了子进程:C:\Windows\temp\svvhost.exe 和 C:\Windows\SysWOW64\svhhost.exe,正常的系统上都是没有这些服务和程序的,很明显都是木马病毒.

根据今天腾讯安全分析得知母体为svhost.exe,云控模块为svhhost.exe,永恒之蓝内网攻击模块为svvhost.exe,在服务器上未发现安装有驱动人生或驱动人生的更新服务和启动项,所以感染源猜测是被内网其他机器感染的或木马早先就潜伏到系统中了.

确认中招

由于该病毒注册的服务名称和服务文件路径都是一样的,所以确认是否中招非常简单,只需要打开cmd,使用 sc query Ddriver 命令查询该服务状态即可,如果未中毒,会提示“指定的服务未安装。”,下面是已中毒的系统下该服务的状态:

驱动人生木马爆发

解决办法

如果安装了驱动人生,先把驱动人生卸载掉,并使用 Pchunter 清理掉驱动人生注册的任何服务或启动项.

1、清理驱动人生木马(以下保存为BAT运行)

@echo off
sc stop Ddriver
sc delete Ddriver
taskkill /f /im svhhost.exe
taskkill /f /im svvhost.exe
del /f /q C:\Windows\temp\svvhost.exe
del /f /q C:\Windows\SysWOW64\svhost.exe
del /f /q C:\Windows\SysWOW64\svhhost.exe
del /f /q C:\Windows\SysWOW64\DSCheckT.dll
echo.
echo By 维护大师技术A
echo.
pause

2、屏蔽高危端口(以下保存为BAT运行)

@echo off
title 创建IP安全策略,屏蔽135、139 . . . 等端口
echo “正在关闭,请等待”
netsh ipsec static add policy name=whds
netsh ipsec static add filterlist name=Filter1
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP
echo “135端口已经关闭”
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP
echo “139端口已经关闭”
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP
echo “445端口已经关闭”
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1443 protocol=TCP
echo “1443端口已经关闭”
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1444 protocol=TCP
echo “1444端口已经关闭”
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1443 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1444 protocol=UDP
netsh ipsec static add filteraction name=FilteraAtion1 action=block
netsh ipsec static add rule name=Rule1 policy=whds filterlist=Filter1 filteraction=FilteraAtion1
netsh ipsec static set policy name=whds assign=y
echo “危险端口已经关闭,按任意键退出,By 维护大师技术A” 
pause

3、运行永恒之蓝打补丁工具,然后重启系统

补丁工具下载: 点击下载永恒之蓝补丁

4、关闭3389外网端口映射,修改系统密码.

原创声明

此文转载于死性不改论坛,作者:维护大师技术A

分享到:
赞(3

发表评论

快捷回复:

    评论列表 (有 2 条评论,562人围观)参与讨论
    网友昵称:ziyoudeyun
    ziyoudeyun评论者2018-12-22回复
    前几天也有遇到这个病毒
    网友昵称:lyh475132885
    lyh475132885评论者2018-12-22回复
    文章不错,写的很好!