专栏首页Bypass如何处理那些杀软都清除不了的病毒

如何处理那些杀软都清除不了的病毒

作为一个运维工程师,而非一个专业的病毒分析工程师,遇到了比较复杂的病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它。

感染现象描述:

1、被感染的计算机向大量远程IP的445端口发送请求,出现了类蠕虫的特征

2、使用各种杀毒软件(McAfee、卡巴斯基、360、火绒、腾讯管家等)查杀无果,虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件,但即使删除NerworkDistribution后,每次重启又会再次生成,不能完全清除病毒。

连杀软清除不了的病毒,只能手工来吧,个人比较偏好火绒,界面比较简洁,功能也挺好用的,自带的火绒剑是安全分析利器。于是安装了火绒,有了如下分析排查过程。

事件分析过程:

A、网络链接

通过对外发包现象,找到对外发送请求的进程ID:4960

B、进程分析

进一步通过进程ID找到相关联的进程,父进程为1464

找到进程ID为1464的服务项,逐一排查,我们发现服务项RemoteUPnPService存在异常。

C、删除服务

选择可疑服务项,右键属性,停止服务,启动类型:禁止。

停止并禁用服务,再清除NerworkDistribution目录后,重启计算机。异常请求和目录的现象消失。

又排查了几台,现象一致,就是服务项的名称有点变化。

如何清除病毒呢?

  1. 停止并禁用可疑的服务项,服务项的名称会变,但描述是不变的,根据描述可快速找到可疑服务项。 可疑服务项描述:Enables a common interface and object model for the Remote UPnP Service to access 删除服务项:Sc delete RemoteUPnPService
  2. 删除C:\Windows\NerworkDistribution目录
  3. 重启计算机
  4. 使用杀毒软件再次全盘查杀
  5. 到微软官方网站下载对应操作系统补丁,下载链接: https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010

后话:

在查询了大量资料后,找到了一篇在2018年2月有关该病毒的报告:

NrsMiner:一个构造精密的挖矿僵尸网络 https://www.freebuf.com/articles/system/162874.html

根据文章提示,这个病毒的构造非常的复杂,主控模块作为服务“Hyper-VAccess Protection Agent Service”的ServiceDll存在。但与目前处理的情况有所不同,该病毒疑似是升级了。

本文分享自微信公众号 - Bypass(Bypass--),作者:Bypass

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-05-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 网站被植入Webshell,怎么处理?

    网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后...

    Bypass
  • 【代码审计】两个简单的CSRF漏洞实例

    CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站,这边分享两个漏洞代码示例。

    Bypass
  • SQL注入速查笔记

    load_file和into outfile用户必须有FILE权限,并且还需要知道网站的绝对路径

    Bypass
  • Windows 系统指令及服务

    ipconfig /all 获取ip地址 所在域 linux:ifconfig -a

    贝塔安全实验室
  • 走近源码:Redis如何执行命令

    前文我们了解了Redis的启动过程。在initServer()函数中创建了一些循环事件来监听TCP端口和Unix的Sockets,从而使Redis服务器可以接收...

    Jackeyzhe
  • Uber开源Atari,让个人计算机也可以快速进行深度神经进化研究

    Uber近期发布了一篇文章,公开了五篇关于深度神经进化的论文,其中包括发现了遗传算法可以解决深层强化学习问题,而一些流行的方法也可替代遗传算法,如深度Q-lea...

    AiTechYun
  • 五分钟掌握微信小程序轮播图

    从公共库v1.4.0开始,change事件返回detail中包含一个source字段,表示导致变更的原因,可能值如下: autoplay 自动播放导致 swip...

    企鹅号小编
  • 2020年最佳远程高科技公司评选结果出炉

    远程办公节约的不只是时间……它节约的是生命。remotive.io的创始人Rodolphe Dutel是前谷歌员工,因为住在旧金山市区,每天都要通勤到山景城上班...

    新智元
  • 计算机网络基础知识整理--运输层

    从IP层来说,通信的两端是两个主机。IP数据报的首部明确地标志了这两个主机的IP地址。我们需要知道,真正进行通信的实体是在主机中的进程,是这个主机中的一个进程和...

    黄桂期
  • 黑客利用病毒挖门罗币 已获利 60 余万

    火绒安全团队截获一批蠕虫病毒。这些病毒通过U盘、移动硬盘等移动介质及网络驱动器传播,入侵电脑后,会远程下载各类病毒模块,以牟取利益。这些被下载的有盗号木马、挖矿...

    周俊辉

扫码关注云+社区

领取腾讯云代金券