1、病毒现象
在C:WindowsTemp目录下生成cohernece.exe文件,以及java-log-xxxx.log文件,存在恶意进程powershell,不断向外进行RDP爆破和ms17-010漏洞利用,并且释放cohernece.exe。导致病毒用杀毒软件杀掉后过一段时间会再次反复生成。还添加了计划任务,连接恶意域名更新病毒。
2、病毒处置
(1)、使用Tcpview查看链接,定位到恶意的进程powershell,特征:存在异常外连行为,向其他内网主机的445端口(microsoft-ds)或者恶意域名update.7h4uk.com发送连接请求。注意:powershell进程可能不止一个,相同PID为同一进程,确定好恶意的powershell进程并记录PID号。结束掉该进程。
(2)、使用autoruns工具,选择wmi选项卡,删除掉以下两项
(3)、在logon选项卡中,关闭两个带有winmail.exe的条目。
(4)、在scheduled tasks选项卡中,关闭以下三个条目
(5)、结束cohernece.exe进程,并在C:WindowsTemp目录下删除病毒文件。
(6)、在运行中输入compmgmt.msc,查看计划任务,删除掉如下任务:
(7)、打ms17-010的补丁,修改服务器密码。
3、病毒详情
https://www.freebuf.com/articles/network/181441.html