关于PowershellMiner无文件挖矿病毒感染Windows系统的预警通报

近日，宁夏网络安全信息通报中心技术支持单位检测发现，区内外部分主机感染Powershell挖矿病毒，消耗资源带宽，造成电脑严重卡顿。现将详情通报如下：

一、漏洞情况

分析发现，此次Powershell挖矿病毒改变了原有的挖矿木马执行方式，通过在Powershell中加载PE文件形式，达到执行“无文件”形式挖矿攻击。新的挖矿木马直接在Powershell.exe进程中运行，可造成难以检测和清除。该病毒除具备无文件攻击的高级威胁外，还具有Mimikatz+WMIExec自动化爆破和MS17-010“永恒之蓝”漏洞攻击，极易在局域网内迅速传播。

二、影响范围

开启WMI启动项、445端口SMB网络共享协议且未安装漏洞（MS17-010）补丁的Windows系统（包括个人版和服务器版）均有可能收到影响。

三、处置建议

（一）隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡；

（二）切断传播途径：关闭潜在终端的SMB 445等网络共享端口，关闭异常外联访问；

（三）查找攻击源：手工抓包分析或借助态势感知类产品分析；

（四）查杀病毒：使用Autoruns工具（微软官网可以下载），选择WMI，将该WMI启动项删除（该项底部详细栏有“SELECT * FROM
__InstanceModificationEvent WITHIN 5600”），在“任务管理器”中删清除Powershell宿主进程。

（五）修补漏洞：微软官方网站安装下载“永恒之蓝”漏洞补丁；

（六）修改密码：若主机账号密码简单，建议重置为高强度的码。

附件：参考链接:

https://cloud.tencent.com/developer/news/149081