一、 概要

近期，出現(xiàn)一種利用永恒之藍(lán)漏洞的新型病毒（WmSrvMiner）。該病毒在主機(jī)中偽裝為svchost.exe，通過感染主機(jī)設(shè)備進(jìn)行挖礦，主要表現(xiàn)為異?？D，嚴(yán)重影響主機(jī)性能和業(yè)務(wù)正常運(yùn)行。由于該病毒集成多種病毒模塊，查殺難度較高，極易導(dǎo)致內(nèi)網(wǎng)橫向傳播擴(kuò)散。目前，據(jù)第三方機(jī)構(gòu)推測，感染主機(jī)數(shù)量超過15萬。

請涉及威脅的租戶根據(jù)自身業(yè)務(wù)情況，采取防護(hù)措施。

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

開啟了135、139、445端口SMB網(wǎng)絡(luò)共享協(xié)議的Windows系統(tǒng)（包括個(gè)人版和服務(wù)器版）。

四、排查和處置方法

排查方法：

1. 檢查系統(tǒng)是否安裝了最近系統(tǒng)漏洞補(bǔ)丁包；

2. 檢查系統(tǒng)是否開啟了445端口的SMB網(wǎng)絡(luò)共享協(xié)議，或者不必要的共享端口；

3. 檢查內(nèi)網(wǎng)是否有主機(jī)訪問惡意鏈接（103.55.13.68:13333）；

4. 檢查系統(tǒng)是否存在異常運(yùn)行的svchost.exe；

5. 檢查系統(tǒng)C:WindowssecurityIIS文件目錄是否存在永恒之藍(lán)（Eternalblue.dll）、永恒浪漫(mance.exe)等攻擊程序。

處置方案：

1. 隔離感染主機(jī)：已中毒計(jì)算機(jī)盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡；

2. 切斷傳播途徑：關(guān)閉潛在終端的445等網(wǎng)絡(luò)共享端口，關(guān)閉異常的外聯(lián)訪問；

3. 查找攻擊源，確認(rèn)感染數(shù)量：手工抓包分析或借助態(tài)勢感知類產(chǎn)品分析，確認(rèn)全網(wǎng)感染數(shù)量；

4. 查殺病毒：可使用以下工具進(jìn)行查殺（http://edr.sangfor.com.cn/tool/SfabAntiBot.zip）, 或者可使用華為云防病毒工具進(jìn)行查殺（推薦使用華為云市場軟件）；

5. 在網(wǎng)絡(luò)出口封 堵惡意鏈接（103.55.13.68:13333）訪問，阻止惡意程序下載攻擊組件；

6. 提高密碼難度：如果主機(jī)賬號(hào)密碼為簡單密碼，建議重置高強(qiáng)度的密碼。

五、安全建議

1. 不從不明網(wǎng)站下載相關(guān)的軟件，不要點(diǎn)擊來源不明的郵件以及附件；

2. 及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞；

3. 修改密碼：設(shè)置主機(jī)賬號(hào)密碼為高強(qiáng)度的密碼；

4. 對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份；

5. 安裝專業(yè)的第三方反病毒軟件（推薦使用華為云市場軟件）；

6. 關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口，如： 135、139、445等。

注意：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。