应急响应(病毒入侵排查).docxVIP

【应急响应】

要求如下：

在虚拟机内（一定要做好网络隔离，防止病毒逃逸）解压wannacry2.0病毒，管理员运行mssecsvc.exe。

在虚拟机内（一定要做好网络隔离，防止病毒逃逸）解压wannacry2.0病毒，管理员运行mssecsvc.exe。

在虚拟机内（一定要做好网络隔离，防止病毒逃逸）解压wannacry2.0病毒，管理员运行mssecsvc.exe。

小工具介绍

PCHunter是一个强大的\t/qqarticle/details/_blankWindows系统信息查看软件，也是手工杀毒辅助软件。软件可以查看内核文件、驱动模块、隐藏进程、注册表等等信息，方便系统工程师在运维工作中获取相关数据。 (查文件)

ProcessHacker是一款免费、开源、多用途、超级强大的进程查看管理、系统监视和内存编辑工具，支持查看管理进程、服务、线程、模块、句柄以及内存区域数据等。可帮助您监视系统资源，调试软件和检测恶意软件。（查进程异常流量分析）

Autoruns是由微软Sysinternals公司出品的一款精品小工具，它能显示Windows启动或登录时自动运行的程序，并允许用户有选择地禁用或删除它们，例如，那些在“启动”文件夹和注册表相关“键”中的程序。此外Autoruns还可以修改包括：Windows资源管理器Shell扩展（如右键弹出菜单）、IE浏览器插件（如工具栏扩展）、系统服务和设备驱动程序、计划任务等多种不同的自启动程序。（查看启动项）

使用prcesshack、pchunter、autoruns工具针对于病毒的异常进程、启动项、文件进行查杀，具体步骤如下：

可能将要遇到的问题：【pchunter用不了？】

/antiwar3/py可以替代pchunter

工具包:

异常现象分析：

1.发先windowsserver存在高量的外发连接行为，占用CPU，内存等状态。(怀疑服务器中了病毒，断网隔离排查)

使用ProcessHacker中网络模块功能观察进程连接行为，高量的外发连接行为通过445端口，发起大量的SYN数据包

Netstat-ano发现很多syn的异常连接

发现是mssecsvc.exe程序发现大量的syn数据包请求，转换到排查进程，服务，定位所在存放的位置

2、异常程序分析：

根据进程排查到该程序文件存放位置，复制样本上传到微步沙箱检测。发现微步沙箱告警mssecsvc.exe为病毒文件，连接对端的异常境外IP，和衍生程序tasksche.exe，威胁情报查询未知IP地址和恶意病毒程序。

3、异常文件分析：

排查衍生程序tasksche.exe存放在本地C:\windows下，该进程未启动，且没有开机自启动。上传微步沙箱检测为恶意程序（可以直接删除）

该进程没有运行，直接清理掉。

4、排查异常启动项和计划任务：

Autoruns工具

Win+r输入msfconfig排查开机启动项

5、处置：

1、排查是否存在开机启动项

2、删除掉mssecsvc.exe文件并终止进程树。删除tasksche.exe程序

3、重要:排查清理mssecsvc.exe存在计划任务

4、重要:删除mssecsvc注册表

清理完毕后，重启电脑打开ProcessHacke检测网络模块，观测三十分钟。

发现无异常已彻底删除mssecsvc.exe程序