來源：深信服官網

原文鏈接：http://www.sangfor.com.cn/about/source-news-company-news/1098.html

近期，深信服安全專家追蹤發現了一利用永恒之藍的新型病毒，主機感染量超過15萬，中毒主機主要是被用于挖礦，多表現為異常卡頓，嚴重影響主機性能和業務正常運行。深信服將其命名為WmSrvMiner，并制定了相應的防護措施。

該病毒基于永恒之藍的漏洞攻擊，傳播速度極快，內網可在短時間內失陷，此病毒會持續擴大范圍，深信服提醒用戶積極打上 MS17-010漏洞補丁，小心中招！

病毒名稱：WmSrvMiner

病毒性質：新型挖礦病毒

影響范圍：超15萬主機感染量

危害等級：高危

傳播方式：利用永恒之藍漏洞在局域網橫向擴散

病毒分析

WmSrvMiner，涉及的病毒模塊多，查殺難度高，感染面廣，關系復雜。

01攻擊場景

中毒主機在C:\Windows目錄下面，有一個svchost.exe的偽裝程序，本質是WmSrvMiner的主體木馬，為整個攻擊的核心組件。一方面主體木馬svchost.exe從HTTP下載站點http://103.55.13.68:13333/，下載NSA套裝以及各種需要用的木馬或者組件。另一方面，主體木馬接收C2站點命令，執行加載器service.exe以及NSA套裝。service.exe負責釋放并加載挖礦進程。

NSA套裝存在于C:\Windows\security\IIS文件目錄，包含永恒之藍、永恒浪漫、雙脈沖星等眾多攻擊組件，主要負責利用MS17-010漏洞，進行內網橫向傳播，危害極大。

中毒主機，存在橫向攻擊行為

02網絡行為

通過對主體木馬進行逆向分析，發現其C2服務器為indonesias.website，其通過C2接收命令，命令主要是下載并運行指定的惡意文件。

主體木馬svchost.exe是一個典型的木馬程序，逆向結果顯示，有大量的命令處置流程，主要是為了配合云端，對中毒主機下載任意文件或執行任意命令。

目前其HTTP下載站點的下載量已經達到15萬+。

03漏洞利用

中毒主機，會在局域網內，利用永恒之藍漏洞，橫向傳播病毒。利用的仍然是NSA套裝，包括但不限于永恒之藍、永恒浪漫、雙脈沖星，當然，還有NSSM、wget等輔助工具。

04挖礦

WmSrvMiner主要瞄準的是大規模的集體挖礦，通過利用了永恒之藍漏洞的便利，迅速使之在局域網內迅猛傳播，礦池站點指向indonesias.me。

解決方案

1、感染主機隔離

已中毒主機盡快隔離，關閉所有網絡連接，禁用網卡。

2、病毒攔截

1）切斷傳播途徑：關閉SMB 445等網絡共享端口，關閉異常的外聯訪問。

2）深信服防火墻用戶，可升級僵尸網絡識別庫20180910，進行攔截防護。

3、病毒檢測

深信服防火墻及安全感知平臺用戶，可升級僵尸網絡識別庫20180910，進行病毒檢測識別。

4、病毒查殺

1）深信服免費提供病毒查殺工具幫助廣大用戶進行病毒查殺（下載地址為：http://edr.sangfor.com.cn/）。

2）推薦使用深信服EDR進行病毒檢測查殺，EDR基于人工智能無特征檢測技術，能夠及時識別新型病毒與變種。

5、漏洞修復

打上“永恒之藍”漏洞補丁，請到微軟官網，下載對應的漏洞補丁（下載地址為：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

咨詢與服務

您可以通過以下方式聯系我們，獲取關于WmSrvMiner的免費咨詢及支持服務：

1）撥打電話400-630-6430轉6號線

2）關注【深信服技術服務】微信公眾號，選擇“智能服務”菜單，進行咨詢

3）PC端訪問深信服社區 

bbs.sangfor.com.cn，選擇右側智能客服，進行咨詢