我有5台電腦被攻擊,每一台電腦被攻擊的狀況不同,我在這邊寫下來給大家看線索
它是在大約4/24入侵,4/26約晚間9點發動第一次攻擊(Update64.exe),4/28約早上11~中午12點發動第二次攻擊(msiexev.exe)
最新版卡巴斯基還沒有把它加入病毒碼,很明顯目前並不安全
我有3台電腦是在被攻擊後就自動關機(或重開機)了,另外2台則紮紮實實(?的接下攻擊了
第1台是因為CPU直接飆高,這台電腦有超頻,CPU連續高速運轉直接被BIOS強制關機了,所以Update64.exe中了之後關機,我手動刪除C:\Windows\dell後,在4/28第二波攻擊又關機了。
第2台原因不明,因為這台都用TeamViewer維護,所以還在等狀況確認。
第3台(關鍵)被攻擊的瞬間就被強制重開機,我因為上面有執行程式,我透過該程式的log找到病毒發動時間點,回去查詢Windows內建的log,找到跟病毒發動時間點相同的有2筆lsass的Crash紀錄
第4台電腦和第5台電腦我目前都已經關機,等六日要去處理。
已經確認的部分:
1.它只對PPPoE連線的電腦進行攻擊,所以如果換成硬撥可以避免掉。
2.系統都是Windows7(但資料查詢下似乎有人Server2008也中)
3.如果電腦被攻擊當下有關機或重新開機,病毒會感染不完全,所以我這邊有蒐集到一些感染到一半的殘檔,這些似乎是在"完全感染"後會被刪除的。
產生的檔案有:
C:\Windows\dell\run64.bat
C:\Windows\dell\svchost.exe
C:\Windows\dell\Update64.exe
C:\Windows\dell\run.bat
C:\Windows\Prefetch\wuauser.exe
C:\Windows\security\msiexev.exe
增加服務:
Windows32_Update
另外它好像還會執行一個rundll32 "C:\PROGRA~2\COMMON~1\MICROS~1\TextConv\NSLS.dll",Main
但這個檔案我不確定是不是病毒,請斟酌後再考慮是否刪除。
依照上述線索(尤其是電腦3),我懷疑是MS17-004這個更新修補的漏洞進行攻擊的
目前是拿第1台電腦當祭品,安裝手動更新後
https://wmos.info/archives/15595
正在等待下一波攻擊
LINE