免费版
- WannaMine(永恒之蓝升级版)
- WannaMine这是永恒之蓝病毒的升级版本,不过下载前注意请不要在自己的电脑上使用,建议在虚拟机上运行或是淘汰的电脑上调试。如果没有专业知识的同学也不太建议下载来玩。相关新闻深信服安全团队研究发现,该企业用户中的是最新型的WannaMine变种,之前有WannaMine1.0和WannaMine2.0版本。此病毒变种,是基于WannaMine改造,加入了一些免杀技术,传播机制与WannaCry勒
- 类型:杀毒软件 | 时间:2020-09-27
- 大小:4.9M
WannaMine这是永恒之蓝病毒的升级版本,不过下载前注意请不要在自己的电脑上使用,建议在虚拟机上运行或是淘汰的电脑上调试。如果没有专业知识的同学也不太建议下载来玩。
相关新闻
深信服安全团队研究发现,该企业用户中的是最新型的WannaMine变种,之前有WannaMine1.0和WannaMine2.0版本。
此病毒变种,是基于WannaMine改造,加入了一些免杀技术,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散),故我们将其命名WannaMine3.0。
国内外发现的首例,国内安全厂商还没有相关报道。
我们对捕获的样本进行分析,发现其接入站点已变更为codidled.com。经查验,这是一个2018年11月11日刚申请注册的域名,也就是说,黑客重新编译WannaMine3.0的时间锁定为2018年11月11日或以后。
近日,多家医院先后中招,我们对其传播速度深感惊讶!未来,感染面也会跟原始变种WannaMine1.0和WannaMine2.0一样惊人!
0x01 攻击场景
此次攻击,沿用了WannaMine1.0和WannaMine2.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。
所不同的是,原始“压缩包”已经变为MarsTraceDiagnostics.xml,其含有所需要的所有攻击组件。旧病毒的压缩包是可以直接解压的,但此变种做了免杀,MarsTraceDiagnostics.xml是一个特殊的数据包,需要病毒自己才能分离出各个组件。其组件有spoolsv.exe、snmpstorsrv.dll等病毒文件,此外,还有“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。
本文所述病毒文件,释放在下列文件目录中:
C:\Windows\System32\MarsTraceDiagnostics.xmlC:\Windows\AppDiagnostics\C:\Windows\System32\TrustedHostex.exe
攻击顺序:
1.有一个主服务snmpstorsrv,对应动态库为snmpstorsrv.dll(由系统进程svchost.exe加载),每次都能开机启动,启动后加载spoolsv.exe。
2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)。
3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)执行后,负责将MarsTraceDiagnostics.xml从本地复制到目的IP主机,再解压该文件,注册snmpstorsrv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。
0x02 清理早期WannaMine版本
WannaMine3.0特意做了清理早期WannaMine版本的动作,包括删除或者停掉WannaMine1.0和WannaMine2.0相关的文件、服务和计划任务等。
清理掉之前WannaMine版本的病毒样本,如下所示:
1.停掉wmassrv服务,如下所示:
2.删除UPnPHostServices计划任务,如下所示:
3.删除EnrollCertXaml.dll,如下所示:
4.结束永恒之蓝攻击程序以及挖矿程序进程,并删除相应的文件,如下所示:
相应的进程文件如下:
C:\Windows\SpeechsTracing\spoolsv.exeC:\Windows\System32\TasksHostServices.exeC:\Windows\SpeechsTracing\Microsoft\svchost.exeC:\Windows\SpeechsTracing\Microsoft\spoolsv.exe
5.删除之前wmassrv.dll文件,如下所示:
6.遍历之前版本目录下的文件,然后删除,如下所示:
相应的目录,如下所示:
C:\Windows\SpeechsTracing\C:\Windows\SpeechsTracing\Microsoft\
7.卸载之前的挖矿模块HalPluginsServices.dll,如下所示:
结束rundll32.exe进程,如下所示:
并删除相应挖矿的文件。
0x03 挖矿
WannaMine3.0沿用WannaMine1.0和WannaMine2.0的套路,同样是瞄准了大规模的集体挖矿(利用了“永恒之蓝”漏洞的便利,迅速使之在局域网内迅猛传播),挖矿主体病毒文件为TrustedHostex.exe。
连入地址为codidled.com。
0x04 解决方案
1.隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2.切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。深信服下一代防火墙用户,可开启IPS和僵尸网络功能,进行封堵。
3.查找攻击源:手工抓包分析或借助深信服安全感知。
4.查杀病毒:推荐使用深信服EDR进行查杀。
5.修补漏洞:打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁
以上就是11ba小编为大家带来的WannaMine(永恒之蓝升级版)的详细介绍,喜欢就收藏一下吧!说不定会找到你要的惊喜╰(*°▽°*)╯~
相关教程
更多 - 腾讯文档电子签名怎么弄 腾讯文档中插入电子签名的技巧 08.31
- 有鱼记账怎么关闭语音记账 有鱼记账关闭语音记账教程 08.22
- Teams怎么在群聊中添加事件 Teams在群聊中添加事件教程 08.18
- 小米手机手势密码怎么设置 小米手机手势密码设置方法 08.10
- 氢氪出行如何下载用户协议 氢氪出行下载用户协议方法 08.02
猜你喜欢
相关专题
电脑杀毒软件
木马查杀软件大全
大力推荐
更多 -
- 360安全卫士9.3正式版
- 杀毒软件 | 59.2M
- 2022-02-22 | 360安全卫士9.3正式版是强大的电脑安全软件,维护电脑的网络环境以及电脑的干净安全,能够对电脑进行体检,杀毒,清理垃圾等多项功能,软件随时在线保护电脑,强大的电脑引擎让你的电脑干净如新。360安全卫士9.3正式版软件特点:不占硬盘空间的360系统重装大师:3
-
- 360安全卫士32位电脑版
- 杀毒软件 | 21M
- 2022-02-22 | 360安全卫士32位是专为相对应的电脑系统提供的360安全卫士的电脑软件,这里的功能更加的全面,仅支持32位系统的使用,能够将软件中的功能发挥到极致,快来下载吧。360安全卫士32位版本介绍360安全卫士32位是一款由奇虎360公司推出的功能强、效果好、受用户
-
- 360手机杀毒软件官方版
- 杀毒软件 | 90.00MB
- 2022-02-22 | 360手机杀毒官方免费版是个非常实用的杀毒app,不仅占用内存小,而且功能强大,让你可以通过本平台可以更好对手机进行保护,不仅扫描彻底,而且还会智能帮你拦截各种垃圾文件和病毒!360杀毒app优势骚扰电话拦截,精准细分来电类型,识别用户手动添加的号码,自动拦截
-
- 360杀毒win10系统
- 杀毒软件 | 60.2M
- 2022-02-22 | 360杀毒windows10最新版界面简约,操作起来也是非常的容易,并且兼容性很强,不仅能够帮你全盘查杀电脑中的病毒,而且还会实时保护你的电脑!360杀毒win10专版特色-全面支持Win10:提供Win10升级助手、Win10设置,确保安全顺畅地升级、使用W
-
- 360安全卫士11.5精简版
- 杀毒软件 | 78.1M
- 2022-02-22 | 360安全卫士11.5精简版是国内主流的杀毒辅助软件,用户的用户也是最多的,360安全卫士成为电脑体检、查杀木马、电脑清理、优化加速的主流软件,帮助用户打造简单干净的电脑。360安全卫士11.5精简版特色:“快速”体检:更加全面地扫描电脑,解决电脑存在或潜在的
-
- 360安全卫士10.3领航版
- 杀毒软件 | 62.6M
- 2022-02-22 | 360安全卫士10.3领航版是刚推出的杀毒版本,页面升级更加简洁干净,使用起来也更加容易,在杀毒防护各个方面也是更加的优化,拥有强大的软件检测杀毒的功能,维护电脑更加简单。360安全卫士10.3领航版介绍:360安全卫士10.3由360安全大脑赋能,更全面系统
-
- 360安全卫士12.0正式版
- 杀毒软件 | 87.6M
- 2022-02-22 | 360安全卫士12.0正式版是一款电脑防护的专用软件,用户只需要将360安全卫士12.0版安装到电脑即可,接下来360安全卫士正式版就会自动开启防护模式,这样不但可以保护电脑不受病毒侵害,还能在线对电脑进行杀毒等功能,方便又省心。
-
- 360安全卫士linux版
- 杀毒软件 | 32.4M
- 2022-02-22 | 360安全卫士linux版是360安全卫士多数版本中功能较多的版本,其中包含了很多版本综合起来的特点,强大的系统的为用户提供最高效的服务。360安全卫士linux版介绍360卫士linux版是当前功能最强、效果较好、最受用户欢迎的上网必备安全软件,全称又叫做3
-
- 360安全卫士中小企业版
- 杀毒软件 | 95.2M
- 2022-02-22 | 360安全卫士中小企业版是专为各大企业打造的电脑杀毒软件,能够很有效的针对企业方面公司的电脑带来更好的功能支持,也能将企业的电脑在360的维护下更好的使用。360安全卫士中小企业版官方介绍360安全卫士中小企业版是面向企业级用户推出的专业安全解决方案,永久免费
-
- 微软电脑管家官方版
- 杀毒软件 | 238M
- 2022-01-26 | 微软电脑管家最新版是一个多功能的电脑防护工具,不仅可以全方位保护电脑防止病毒侵害,而且提供了多样化的清理功能。更加简洁的使用环境,完美支持所有的系统,实时防控系统文件,帮助你防患于未然。微软电脑管家官方版介绍微软电脑管家软件是微软应用程序的强大、集中研发功能,
-
- 360安全卫士极速版本最新版
- 杀毒软件 | 82M
- 2022-01-10 | 360安全卫士极速版本是全新推出的电脑助手软件,此版本不仅更加简洁流畅,而且去除了所有的强制性锁定功能。没有任何的弹窗和广告,一键开启扫描,即可实时防护你的系统文件,是时下最强的杀毒软件之一。360安全卫士极速版最新版介绍五个全新升级的安全引擎和五个防护系统,
-
- 360杀毒软件
- 杀毒软件 | 61.4M
- 2021-09-01 | 360杀毒软件电脑版是一款广受欢迎的经典沙都软件,360杀毒软件中所有的功能都是免费的,无论是广告拦截、垃圾清理还是病毒查杀,都是免费提供给用户们使用的,不用担心额外收费。360杀毒软件官方版使用了最领先的查杀引擎之一,让你的电脑病毒无处可藏,今天11ba小编就为大家带来360杀毒软件绿色版,一起来看看吧!
-
- 安天防线8官方版
- 杀毒软件 | 319KB
- 2021-09-01 | 小编发现很多网友想知道安天防线怎么样?好不好用呢?安天防线8官方版是一款十分经典的电脑杀毒防护软件,不仅可以帮助用户对电脑的病毒和木马进行查杀,还可以对电脑进行深度清理,提高电脑的运行速度,今天11ba小编就为大家带来安天防线8汉化版,一起来看看吧!
-
- zonealarm pro firewall
- 杀毒软件 | 5M
- 2021-09-01 | zonealarm pro firewall是一款功能强大的电脑安全防护软件,用户们可以下载安装zonealarm pro防火墙软件来为自己的电脑增加更好的防护功能,可以有效地帮助用户们防止病毒或者木马入侵自己的电脑,并且还能智能拦截危险弹窗和软件,为你的电脑安全保驾护航,今天11ba小编就为大家带来zonealarm pro firewall官网版,一起来看看吧!
-
- microsoft windows live onecare
- 杀毒软件 | 1.4M
- 2021-09-01 | microsoft windows live onecare是一款微软旗下的杀毒软件,用户们如果觉得自己的电脑有很多广告弹窗或者运行卡顿的话,就可以下载安装microsoft windows live onecare官方版,对电脑进行检查和杀毒,软件体积小但是功能强大,十分好用,今天11ba小编就为大家的带来microsoft windows live onecare pc版,一起来看看吧!
