一、 概要

近期，出現(xiàn)一種利用永恒之藍漏洞的新型病毒（WmSrvMiner）。該病毒在主機中偽裝為svchost.exe，通過感染主機設(shè)備進行挖礦，主要表現(xiàn)為異?？D，嚴重影響主機性能和業(yè)務正常運行。由于該病毒集成多種病毒模塊，查殺難度較高，極易導致內(nèi)網(wǎng)橫向傳播擴散。目前，據(jù)第三方機構(gòu)推測，感染主機數(shù)量超過15萬。

請涉及威脅的租戶根據(jù)自身業(yè)務情況，采取防護措施。

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

開啟了135、139、445端口SMB網(wǎng)絡(luò)共享協(xié)議的Windows系統(tǒng)（包括個人版和服務器版）。

四、排查和處置方法

排查方法：

1. 檢查系統(tǒng)是否安裝了最近系統(tǒng)漏洞補丁包；

2. 檢查系統(tǒng)是否開啟了445端口的SMB網(wǎng)絡(luò)共享協(xié)議，或者不必要的共享端口；

3. 檢查內(nèi)網(wǎng)是否有主機訪問惡意鏈接（103.55.13.68:13333）；

4. 檢查系統(tǒng)是否存在異常運行的svchost.exe；

5. 檢查系統(tǒng)C:WindowssecurityIIS文件目錄是否存在永恒之藍（Eternalblue.dll）、永恒浪漫(mance.exe)等攻擊程序。

處置方案：

1. 隔離感染主機：已中毒計算機盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡；

2. 切斷傳播途徑：關(guān)閉潛在終端的445等網(wǎng)絡(luò)共享端口，關(guān)閉異常的外聯(lián)訪問；

3. 查找攻擊源，確認感染數(shù)量：手工抓包分析或借助態(tài)勢感知類產(chǎn)品分析，確認全網(wǎng)感染數(shù)量；

4. 查殺病毒：可使用以下工具進行查殺（http://edr.sangfor.com.cn/tool/SfabAntiBot.zip）, 或者可使用華為云防病毒工具進行查殺（推薦使用華為云市場軟件）；

5. 在網(wǎng)絡(luò)出口封 堵惡意鏈接（103.55.13.68:13333）訪問，阻止惡意程序下載攻擊組件；

6. 提高密碼難度：如果主機賬號密碼為簡單密碼，建議重置高強度的密碼。

五、安全建議

1. 不從不明網(wǎng)站下載相關(guān)的軟件，不要點擊來源不明的郵件以及附件；

2. 及時給電腦打補丁，修復漏洞；

3. 修改密碼：設(shè)置主機賬號密碼為高強度的密碼；

4. 對重要的數(shù)據(jù)文件定期進行非本地備份；

5. 安裝專業(yè)的第三方反病毒軟件（推薦使用華為云市場軟件）；

6. 關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口，如： 135、139、445等。

注意：修復漏洞前請將資料備份，并進行充分測試。