记一次SecureBootThemes挖矿病毒的处理
- 事情起因:MaAfee防病毒软件检测到局域网内其他电脑正在入侵安装了MaAfee客户端的电脑
对入侵来源IP进行入侵次数统计
- 排查步骤:排查几台威胁来源发起攻击的都是哪些程序或进程在对其他电脑进行攻击,并对这些文件进行取交集
取文件交集
| 取交集得出路径 |
| C:\Windows\SecureBootThemes\Microsoft\svchost.exe |
| C:\Windows\SecureBootThemes\Microsoft\spoolsv.xml |
| C:\Windows\SecureBootThemes\Microsoft\svchost.xml |
| C:\Windows\SecureBootThemes\Microsoft\x86.dll |
| C:\Windows\SecureBootThemes\Microsoft\x64.dll |
- 现场核实:查看病毒工作方式,正在对网段进行顺序扫描
- 现场核实:查看病毒进程都有哪些,在哪些进程下运行的
- 现场核实:查看病毒文件夹内文件和程序文件
- 结合防病毒软件找出出更多挖矿文件
又发现2个文件
C:\Windows\system32\MaintenancesServices.dll
C:\Windows\system32\ProximityUntilCache32.tlb
- 整理下挖矿文件路径
C:\Windows\System32\WUDHostServices.exe
C:\Windows\System32\SecureBootThemes\spoolsv.exe
C:\Windows\SecureBootThemes\Microsoft\spoolsv.exe
C:\Windows\SecureBootThemes\Microsoft\svchost.exe
C:\Windows\system32\MaintenancesServices.dll
C:\Windows\system32\ProximityUntilCache32.tlb
- 一种解决办法
写脚本开机杀掉进程然后再删除对应的程序或文件
将脚本加入开机启动执行
重启后发现进程不在了
- 另一种解决办法
域的话可以在域里面做组策略,将清理脚本加入开机选项内,开机自动清除。
可以看到策略已经下发到域账户下
- 最后看到除了C:\Windows\system32\MaintenancesServices.dll
文件没有被清除外,其他程序都被删除了。
C:\Windows\System32\WUDHostServices.exe
C:\Windows\System32\SecureBootThemes\spoolsv.exe
C:\Windows\SecureBootThemes\Microsoft\spoolsv.exe
C:\Windows\SecureBootThemes\Microsoft\svchost.exe
C:\Windows\system32\MaintenancesServices.dll
C:\Windows\system32\ProximityUntilCache32.tlb
清除挖矿文件脚本地址:ClearSecureBootThemes.bat
