※ 引述《Crushredkiss (KappaOuO)》之銘言:
: http://i.imgur.com/ubxJjxj.jpg
: 我C碟Windows資料夾底下目前出現這個
: 而去防毒軟體看之後發現
: http://i.imgur.com/EfVVbhh.jpg
: 我電腦在5/7就把item.dat擋下來了
: 目前電腦是沒有異樣但高度懷疑是目標了
: 我是Windows7,請問大神們這樣有防堵的機會嗎
: 有參考上面i大的文章 #1P5amuty 關閉SMBv1協定了
前幾天幫朋友裝Bitdefender也有掃到
他沒更新win7,應該是透過SMB漏洞感染
本來以為刪掉就沒事
結果之後每三小時就跳Web Threat Blocked通知
顯示scrcons.exe執行並試著連線
wmi. mykings. top:8888/test.htm1
wmi. mykings. top:8888/kill.htm1
防毒更新後再掃也沒有異狀
查了google才發現是WMI腳本劫持
(常見於瀏覽器首頁綁架,防毒掃不到)
就是利用WMI腳本定時執行
建立工作排程下載木馬
↑這邊有裝防毒應該都會偵測到
只是抓不到源頭的WMI腳本
才會一直定時執行下載木馬…
解法很簡單:
下載微軟 Autoruns
把WMI的 fuckyoumm2_consumer 腳本刪掉
再把工作排程 Mysa 刪掉
(名稱可能不同就檢查執行內容)
順便檢查啟動項目有沒有怪東西
下載微軟 Process Explorer
檢查程序中有沒有 rundll32.exe 掛載 item.dat 把他kill掉
檢查 c:\windows\debug\ 刪除 item.dat
收工
這隻木馬原本好像是透過SQL注入
1月時就被大蜘蛛和卡巴收錄病毒庫
到4月底SMB漏洞改用WMI腳本劫持才比較多案例
但不像wannacry主動攻擊,中的人也不多
而且下載的是已經入庫的木馬
有裝防毒頂多就是定時掃到跳通知 XD
有類似症狀的記得檢查WMI
相關資料:
https://vms.drweb.com/virus/?i=14934685
New(ish) Mirai Spreader Poses New Risks
https://goo.gl/N1o9IL
Vinc's Blog windows应急响应(20170503)
https://goo.gl/2JSLoM
EternalBlue Exploit Actively Used to Deliver
Remote Access Trojans
https://goo.gl/JWpzAA