全球性WannaCry蠕虫勒索病毒感染前后应对措施 (2)

由于病毒设置了隐藏属性,正常情况下无法查看该文件,需要对文件查看进行设置,即在资源管理器中单击工具”-“文件夹选项

全球性WannaCry蠕虫勒索病毒感染前后应对措施

 

去掉隐藏受保护的操作系统文件(推荐)”、选择显示隐藏的文件、文件夹和驱动器、去掉隐藏已知文件类型的扩展名,即可查看在windows目录下的病毒隐藏文件。

全球性WannaCry蠕虫勒索病毒感染前后应对措施

 

2.2 发现病毒

1)文件名称及大小

本次捕获到病毒样本文件三个,mssecsvc.exeqeriuwjhrftasksche.exe,根据其md5校验值,tasksche.exeqeriuwjhrf文件大小为3432KBmssecsvc.exe大小为3636KB

2md5校验值

使用md5计算工具对以上三个文件进行md5值计算,其md5校验值分别如下:

tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6e

mssecsvc.exe 854455f59776dc27d4934d8979fa7e86

qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e

全球性WannaCry蠕虫勒索病毒感染前后应对措施

3)查看病毒文件

系统目录查看

文件一般位于系统盘下的windows目录,例如c:\windows\,通过命令提示符进入:

cd c:\windows\

dir /od /a *.exe

全盘查找

dir /od /s /a tasksche.exe

dir /od /s /a mssecsvc.exe

病毒现象

通过netstat –an命令查看网络连接,会发现网络不停的445 对外发送SYN_SENT包。

全球性WannaCry蠕虫勒索病毒感染前后应对措施

病毒服务

通过Autoruns安全分析工具,可以看到在服务中存在“fmssecsvc2.0”服务名称,该文件的时间戳为2010112017:03分。

全球性WannaCry蠕虫勒索病毒感染前后应对措施

 

2.3 结束进程

  通过任务管理器,在任务栏上右键单击选择启动任务管理器,从进程中去查找mssecsvc.exetasksche.exe文件,选中mssecsvc.exetasksche.exe,右键单击选择结束进程树将病毒程序结束,又可能会反复启动,结束动作要快。以上三个文件一般位于c:\windows目录。

  我在病毒感染期间没有截图,以下图代替

全球性WannaCry蠕虫勒索病毒感染前后应对措施

 

2.4 删除程序

windows目录将三个文件按照时间排序,一般会显示今天或者比较新的时期,将其删除,如果进程结束后,又启动可来回删除和结束。直到将这三个文件删除为止,清空回收站,有可能到写本文章的时候,已经有病毒变体,但方法相同,删除新生成的文件。

 

2.5 再次查看网络

使用netstat –an 命令再次查看网络连接情况,无对外连接情况,一切恢复正常。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wpjyyg.html