1          发现异常

网络工程师在防火墙IPS日志分析中发现异常流量，主要表现为172.16.101.13服务器频繁向192.168.16.78的445端口发起SMB连接。

查找资产列表，发现172.16.101.13（win2008R2）为集群管理服务器，尚未安装公司统一的防病毒软件，192.168.16.78为员工PC。

2          处理过程

2.1      服务器系统打补丁

“MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution”，根据防火墙的告警信息，上网找到问题详情，该告警系CVE-2017-0144漏洞导致，微软已经出了相关的补丁，补丁编号就是大家熟悉的MS17-010，上微软官网下载win2008R2版本的MS17-010补丁，并在172.16.101.33上安装、重启。

之后观察，异常流量依然存在。虽然补丁打上了，但是病毒依然存在，说明目前为止，光打补丁不奏效。

2.2      查看网络连接

登录服务器172.16.101.33，命令行窗口中输入netstat -aon查看网络连接，发现有异常行为，服务器与192.168.17.19的445端口有多个异常连接，且还在尝试与其他设备的连接，说明该恶意程序会去主动扫描其他设备的445端口。网络连接如下图所示:

2.3      查看异常进程和文件

先查一下与192.168.17.19建立连接的进程，从上图看，在任务管理器中找不到PID为17380的进程，说明该进程做了隐藏，或者注入到其他进程中了。此时需要借助一些查看进程的工具，比如pchunter/ProcessExplorer等，借助工具pchunter，找到了可疑进程文件的路径为c:windowsappdiagnosticssvchost.exe，如下图所示。

该文件乍一看没啥异常，但是仔细分析会发现，正常的svchost.exe文件是在c:windowssystem32文件夹下，基本可以判断该exe文件异常。查看文件创建时间，系2017年4月15日创建的，而发现时间为2019年3月21日17:00时许，说明该恶意程序或者其变种已经在市面上存活了近2年的时间。

2.4      云查杀

把可疑文件复制到本机，为了进一步确认是否是恶意程序，把该文件上传到病毒云查杀平台www.virscan.org进行在线扫描，发现49款杀毒软件中有33款（66.7%）认定为病毒文件，至此基本可以断定该文件是病毒文件。

2.5      手工删除

在完成重要数据备份后（这一步非常重要，以防病毒处理过程中数据丢失），压缩备份svchost.exe文件后，对其进行删除，提示无法删除，借用pchunter删除后，直接导致系统奔溃，重启后该进程又出现，说明该恶意程序有守护进程。

2.6      防病毒软件查杀

找系统管理员在服务器上安装防病毒软件，并进行全盘扫描，共扫出病毒、木马、后门等危险程序51个，并进行了自动删除，其中有一个文件需要重启服务器才能完成清除，病毒文件绝大多数文件在C:WindowsAppDiagnostics目录下。之后观察病毒不再恢复，至此，病毒查杀告一段落。

然而查杀后发现第二天被告知该服务器上XX服务异常（行业特有软件，需脱敏）。系统管理员此时告诉我，厂家多次交待不可以在XX服务器上安装防病毒软件。使用杀毒软件完成病毒查杀，但同时也导致XX服务异常，影响到了业务，到目前为止，算是一次失败的病毒处理过程。还好，该服务器是在虚拟机上部署，恢复镜像即可。

2.7      借鉴已知信息

上网搜索恶意程序的路径关键字“C:WindowsAppDiagnostics”，找到了深信服2018年11月22日发布的关于WannaMine 3.0的报告，文中有对WannaMine 3.0的工作原理进行详细的分析，且提供了WannaMine 3.0专杀工具，使用专杀工具，将恶意程序完全删除，经观察恶意程序没有再次复活。报告原文详见http://www.sangfor.com.cn/about/source-news-company-news/1169.html。

2.8      全面排查

对所有windows服务器进行全面排查，发现另有7台服务器中了同样的WannaMine 3.0挖矿病毒，采用专杀工具完成病毒查杀，并打MS17-010补丁。从文件属性看，中毒时间可追溯到2018年11月18日，离发现时间已经有4个多月了。

3          事件总结

通过本次挖矿病毒事件的处理，总结如下：

• 一定要充分借鉴已知信息，多去网上搜索，看是否有相关的报道，站在巨人的肩膀上才能事半功倍，而不是蛮干，这也是我整理这一系列资料的初衷，把自己踩过的坑和好的建议拿出来共享。
• 公司当前系统补丁更新不及时。该漏洞编号为CVE-2017-0144，补丁编号为MS17-010，微软于2017年3月份发布的补丁，如此重要的补丁两年过去了该补丁依然没有修复。事后制定并发布《系统补丁升级管理办法》，要求定期更新系统安全补丁。
• 目前主动发现威胁能力太弱。从病毒文件的属性看，该病毒首次创建时间为2018年11月18日的8:38:18，几乎在几分钟之内迅速感染另外7台服务器，而我们却丝毫没有察觉到。应在网络的边界及核心服务器网段部署必要的安全设备，如IPS/IDS等，主动监测安全威胁（IDS和IPS目前均已部署）。
• 要求所有windows服务器择机安装公司统一的防病毒软件。