无意中发现电脑中了WannaCry的变种病毒,具体现象为cmd命令行netstat -an |find ":445" 有大量从本机外连其他机器445端口的TCP连接。WannaCry之前的版本会释放勒索程序对主机进行勒索,但变种中该程序在主流Windows平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该病毒,病毒会互相之间进行永恒之蓝漏洞***,该漏洞的利用使用了堆喷射技术,该技术漏洞利用并不稳定,有小概率出现漏洞利用失败,在未打补丁利用失败的情况,会造成被***主机蓝屏的现象。


处理步骤:

一、安装MS17-010补丁。补丁下载地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

二、使用深信服WannaCry专杀工具进行杀毒。


如上2步完成后本以为万事大吉,可是观察发现仍然有大量从本机发往同一网段其他机器445端口TCP连接出现。如此可见病毒并未完全被清除,认真想想虽然我们安装了补丁仅仅是起到了不被再次感染的作用。所以我再次打开“任务管理器”又发现几个可疑进程直接强制结束,发现根本杀不掉。之后又找到进程文件所在目录直接强制删除发现也不管用,因为该文件被进程正在调用中。。。沉思片刻之后果断安装360杀毒进行扫描查杀最后搞定。不得不承认360很牛币啊。哈哈XD.


被360查杀的遗留病毒目录和文件:

C:\Windows\SecureBootThemes\

C:\Windows\System32\SecureBootThemes\spoolsv.exe

C:\Windows\System32\TrustedHostServices.exe

C:\Windows\System32\tpmagentservice.dll


参考文章:

http://sec.sangfor.com.cn/events/97.html

http://www.freebuf.com/news/139809.html