WannaMiner 挖矿木马手工检测笔记

应急响应

发现可疑进程:

外部扫描:

该木马通常会开启65531-65533 端口

nmap -p65531-65533 --open -oG d:\result1.txt 10.230.12.1/16

过滤出受影响IP:
grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" 230-result1.txt

2019-07-29-02-00-07

恶意端口对应进程:
2019-07-29-02-00-33
恶意进程对应服务:
2019-07-29-02-01-22
对应服务名:snmpstorsrv

恶意服务详情
2019-07-29-02-02-05

服务加载模块

2019-07-29-02-02-28
加载dll:snmpstorsrv.dll

加载恶意模块位置

2019-07-29-02-03-45
dll位置:C:\Windows\system32\snmpstorsrv.dll

dll模块对应的md5

2019-07-29-02-04-42

MD5:42A12DE5A2B8CFF827407877DBD66B16
2019-07-29-02-05-07
360威胁情报查看确实有相应的威胁情报信息,并有相关安全报道

查看文件创建日期
Get-Item C:\Windows\system32\snmpstorsrv.dll

2009/7/14 9:39 修改过文件时间不准确

2019-07-29-02-06-00
导出注册表查看服务创建日期
服务创建日期:2018/11/16 - 18:17

2019-07-29-02-06-27
2019-07-29-02-06-51

更详细快捷的查杀建议使用pchunter 火绒剑 auturuns等安全工具