病毒通過445端口自我橫向蔓延的實例分析

今天就跟大家聊聊有關病毒通過445端口自我橫向蔓延的實例分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結了以下內容，希望大家根據這篇文章可以有所收獲。

有一天，發現內網一臺主機不停的向所在網段的445端口發SYN, 于是登錄這臺主機用命令>netstat -ano |findstr 445 看到如下截圖的狀態，此主機的行為主動而特別惡劣。

除了一大片的61260進程外，居然有94248的進程經常已經ESTABLISHED了，結合Windows任務管理器發現ESTABLISHED進程對應用程序目錄為：C:\Windows\AppDiagnostics\

進到對應目錄C:\Windows\AppDiagnostics\下看到如下可疑文件：

循著文件夾名稱AppDiagnostics網上查找了一下，據專業安全網友或安全廠商介紹該病毒是一個名叫更新版NSRminer加密貨幣挖礦機 或者WannaMine升級到V3.0版本的東東在利用MS17-010/Eternal Blue啥啥的漏洞在作怪2018年11月份開始從越南流行，這么快就到中國了，趕緊看看怎么查殺吧，根據網友介紹：

第一步先后停止病毒感染服務snmpstorsrv與spooler與結束對應PID進程（61260、94248）如下截圖：

第二步刪除病毒文件夾AppDiagnostics（C:\Windows\目錄下 ） 和文件 MarsTraceDiagnostics.xml（C:\Windows\System32\MarsTraceDiagnostics.xml目錄下 ） 如下截圖，同時在刪除時提示文件夾創建于2018年12月14日 14:01分。

第三步開啟感染服務 snmpstorsrv與spooler 測試發現不再有針對445端口的SYN_SENT如下截圖所示：（注：不刪除C:\Windows\System32\下的MarsTraceDiagnostics.xml文件時開啟感染服務 snmpstorsrv與spooler后病毒文件夾AppDiagnostics又被寫入到C:\Windows\目錄下了，針對于445端口的SYN_SENT又開始了，由此看來感染過的服務已不是原來的服務了，還需要進一步的清洗。 ）

問題從表面看好像是得到了控制，但聽大佬們說病毒感染過的主機，不是這兩下能處理干凈的，還要分析怎么感染的，感染的文件注冊表是否已處理干凈，利用的漏洞有沒有真正修復，后面有一大堆工作本菜鳥目前無法寫了。

看完上述內容，你們對病毒通過445端口自我橫向蔓延的實例分析有進一步的了解嗎？如果還想了解更多知識或者相關內容，請關注億速云行業資訊頻道，感謝大家的支持。