0x00 前言

　　作為一個運維工程師，而非一個專業的病毒分析工程師，遇到了比較復雜的病毒怎么辦？別怕，雖然對二進制不熟，但是依靠系統運維的經驗，我們可以用自己的方式來解決它。

0x01 感染現象

1、向大量遠程IP的445端口發送請求

?

2、使用各種殺毒軟件查殺無果，雖然能識別出在C:\Windows\NerworkDistribution中發現異常文件，但即使刪除NerworkDistribution后，每次重啟又會再次生成。

在查詢了大量資料后，找到了一篇在2018年2月有關該病毒的報告：

NrsMiner：一個構造精密的挖礦僵尸網絡

https://www.freebuf.com/articles/system/162874.html

根據文章提示，主控模塊作為服務“Hyper-VAccess Protection Agent Service”的ServiceDll存在。但在用戶的計算機并未找到該服務。

文章報道已然過去了一年多，這個病毒似乎是升級啦，于是有了如下排查過程。

0x02 事件分析

A、網絡鏈接

通過現象，找到對外發送請求的進程ID：4960

B、進程分析

進一步通過進程ID找到相關聯的進程，父進程為1464

找到進程ID為1464的服務項，逐一排查，我們發現服務項RemoteUPnPService存在異常。

C、刪除服務

選擇可疑服務項，右鍵屬性，停止服務，啟動類型：禁止。

停止并禁用服務，再清除NerworkDistribution目錄后，重啟計算機。異常請求和目錄的現象消失。

又排查了幾臺，現象一致，就是服務項的名稱有點變化。

0x03 病毒清除

NrsMiner挖礦病毒清除過程如下：

1、 停止并禁用可疑的服務項，服務項的名稱會變，但描述是不變的，這給我。

　　可疑服務項描述：Enables a common interface and object model for the ?Remote UPnP Service to access

　　刪除服務項：Sc delete? RemoteUPnPService

2、? 刪除C:\Windows\NerworkDistribution目錄

3、? 重啟計算機

4、? 使用殺毒軟件全盤查殺

5、? 到微軟官方網站下載對應操作系統補丁，下載鏈接：

　　https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010

?

推薦閱讀：?

Window應急響應（一）：FTP暴力破解

Window應急響應（二）：蠕蟲病毒

Window應急響應（三）：勒索病毒

Window應急響應（四）：挖礦病毒

Window應急響應（五）：ARP病毒

Window應急響應（六）：NesMiner挖礦病毒

轉載于:https://www.cnblogs.com/xiaozi/p/10845635.html

總結

以上是生活随笔為你收集整理的Window应急响应（六）：NesMiner挖矿病毒的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。