【漏洞详情】

 近期，WannaMine挖矿病毒出现新型变种版本，该病毒变种基于WannaMine旧版本进行改造，新增免杀技术，具有更高隐蔽特性，利用永恒之蓝漏洞（MS17-010）漏洞传播。目前，已有国内企业发生感染事件。

【风险评级】

 高危

【影响范围】

 开启了445端口SMB网络共享协议，且未升级漏洞（ms17-010）补丁的Windows系统

【排查方法】

 1、检查系统是否安装了MS17-010操作系统漏洞补丁；

 2、检查系统是否开启了445端口的SMB网络共享协议；

 3、 检查系统是否存在对codidled.com的链接；

 4、 检查系统是否存在以下病毒文件目录：

 C:\Windows\System32\MarsTraceDiagnostics.xml

 C:\Windows\AppDiagnostics\。

【修复建议】

 1、结合分析业务需求，如不需要开启SMB服务，建议关闭445端口及异常的外联访问；

 2、采用防病毒软件全面查杀（可参考如下查杀软件http://edr.sangfor.com.cn/tool/SfabAntiBot.zip），停止异常挖矿进程TrustedHostex.exe，并删除snmpstorsrv.dll和MarsTraceDiagnostics.xml；

 3、修补漏洞：安装“永恒之蓝”漏洞补丁，请到微软官网，下载对应的漏洞补丁：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

 4、删除病毒目录（如下），并重启主机。

  C:\Windows\System32\MarsTraceDiagnostics.xml

  C:\Windows\AppDiagnostics\。

【参考链接】

http://www.sangfor.com.cn/about/source-news-company-news/1169.html

注意：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2018-11-23