发现新挖矿病毒，ESET企业版6.0不杀【电脑管家经过上报已可以查杀此样本】

torpedo

这个病毒需要打永恒之蓝补丁，否则即使杀干净病毒了，仍有可能感染

maomaojk

torpedo 发表于 2018-5-21 17:33
不是的，你把本体文件杀了，这个文件就是个僵尸

电脑都被病毒修改破坏了。

torpedo

这个病毒就是挖矿，不会修改系统的文件。先打永恒之蓝补丁，然后查杀c:\windows\system32\HalPluginsServices.dll文件，删除HalPluginsServices服务，即可避免重复感染。

maomaojk

torpedo 发表于 2018-5-21 17:40
这个病毒就是挖矿，不会修改系统的文件。先打永恒之蓝补丁，然后查杀c:\windows\system32\HalPluginsServic ...

4.payload（x86.dll/x64.dll）执行后，负责将EnrollCertXaml.dll从本地复制到目的IP主机，再解压该文件，注册srv主服务，启动spoolsv执行攻击（每感染一台，都重复步骤1、2、3、4）。
你没有看我帖子中附的那个文章吗？（节选见上）  如果这个EnrollCertXaml.dll 能拦截，它就无从解压，也就无法继续感染。

torpedo

都说了让你打补丁了，打补丁后这个x86.dll或x64.dll就不会被注入到系统执行了

maomaojk

torpedo 发表于 2018-5-21 17:54
都说了让你打补丁了，打补丁后这个x86.dll或x64.dll就不会被注入到系统执行了

合着杀毒软件把防护作用全交给补丁了？   补丁是很重要，但是杀软能够拦截也一样重要。
之前我们中的另一个挖矿病毒，eset最后是可以查杀病毒的原始压缩包的。

http://www.freebuf.com/articles/network/164869.html    网上的分析贴子。
上图和上面链接文章中的这个MsraReportDataCache32.tlb 就是该病毒的原包，eset是可以查杀的，这个MsraReportDataCache32.tlb和我在本帖中说的这个EnrollCertXaml.dll  性质是同样的。  所以我说，应该要查杀。

2605276004x

maomaojk 发表于 2018-5-21 18:10
合着杀毒软件把防护作用全交给补丁了？   补丁是很重要，但是杀软能够拦截也一样重要。
之前我们中的另 ...

1. 合着杀毒软件把防护作用全交给补丁了？

复制代码

你怎么不问问自己的eset是不是太老了呢？补丁又不打，杀软又不用最新版，能怪谁？
新版的都有漏洞利用防护

maomaojk

2605276004x 发表于 2018-5-21 18:16
你怎么不问问自己的eset是不是太老了呢？补丁又不打，杀软又不用最新版，能怪谁？
新版的都有漏洞利用 ...

eset6.6的企业版。 还不新？？

2605276004x

maomaojk 发表于 2018-5-21 18:22
eset6.6的企业版。 还不新？？

那你楼上怎么6.0？

maomaojk

2605276004x 发表于 2018-5-21 18:16
你怎么不问问自己的eset是不是太老了呢？补丁又不打，杀软又不用最新版，能怪谁？
新版的都有漏洞利用 ...

有漏洞利用阻止，不是照样漏了么，还不是要靠病毒库