行业资讯

立即注册 咨询客服

当前位置:首页 > 行业资讯> 关于永恒之蓝漏洞传播挖矿程序系统预防与安全修复建议

关于永恒之蓝漏洞传播挖矿程序系统预防与安全修复建议

发布时间:2018年03月20日 21:14:35    来源: A5互联

通过对互联网安全漏洞相关信息的跟踪,近日安全研究团队追踪到一个利用永恒之蓝漏洞传播的挖矿程序(NrsMiner挖矿僵尸木马),其具备高度的模块化和较强的传播能力,在短短数日就感染了数万台用户电脑与服务器。

漏洞详细描述

NrsMiner病毒生成了一个名为“spoolsv.exe”的主控程序,存放在C:\Windows\system32\SysprepThemes\,该主控程序启动后会对局域网中的同网段计算机和与本机可访问到其他网段计算机进行攻击。

藏匿在目录C:\Windows\SysprepThemes\Microsoft\下的“Eternalblue-2.2.0.fb”和“Eternalchampion-2.0.0.fb”为NSA工具包中“永恒之蓝”利用工具。永恒之蓝利用成功后,同目录下的“x64.dll”和“x86.dll”即为目标机中植入DoublePulsar后门将要加载的dll。dll加载后开启一个随机端口与攻击机进行通信,攻击机将名为“NrsDataCache.tlb”的压缩包传输到被攻击主机(C:\Windows\System32\NrsDataCache.tlb)。其中文件“crypt”即为“永恒之蓝”利用工具和payload的压缩包,gpu、hash、hash64为门罗币挖矿程序xmrig。

漏洞影响范围

漏洞影响范围较广,主要影响:Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

安全处理建议

NrsMiner挖矿病毒完整清除过程如下,请在断网情况下进行:

1.停止并禁用Hyper-VAccess Protection Agent Service服务;

2.删除C:\Windows\system32\NrsDataCache.tlb;

3.删除C:\Windows\system32\vmichapagentsrv.dll,若删除失败,可重命名该文件为其他名称;

4.重启计算机;

5.删除C:\Windows\system32\SysprepThemes\和C:\Windows\SysprepThemes\目录;

6.删除C:\Windows\system32\SecUpdateHost.exe。

7.到微软官方网站下载对应操作系统补丁,下载链接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安装国内主流杀毒软件,及时更新至最新病毒特征库。