近日，出现一种通过永恒之蓝漏洞的新型病毒（WmSrvMiner）。该病毒通过感染主机设备进行挖矿，主要表现为异常卡顿，严重影响主机性能和业务正常运行。目前，据第三方机构推测，感染主机数量超过15万。请各重点单位注意加强主机设备安全防护，提醒职工不点击来源不明的邮件以及附件，预防感染该病毒。关于新型挖矿病毒WnSrvMiner的紧急预警与处置建议。

深圳市网络与信息安全信息通报中心

二、 事件信息(一) 事件概要

事件名称 WnSrvMiner新型挖矿病毒

威胁类型 挖矿病毒

威胁等级 高

受影响系统及应用版本

开启了135，139，445端口SMB网络共享协议的Windows系统（包括个人版和服务器版）。

（二）漏洞描述

WmSrvMiner利用永恒之蓝漏洞进行渗透攻击，在主机中伪装为svchost.exe，通过连接下载横向传播的攻击工具，并按照C2站点的命令执行挖矿程序。该病毒集成多种病毒模块，查杀难度较高，因此极易导致内网横向传播扩散。

（三）影响范围

开启了135、139、445端口或SMB网络共享协议的Windows系统（包括个人版和服务器版）。

三、 处置建议（一）排查方案

1.检查系统是否打上了最近系统漏洞补丁包；

2.检查系统是否开启了445端口的SMB网络共享协议，或者不必要的共享端口；

3.检查内网是否有主机访问；

3.检查系统是否存在异常运行的svchost.exe；

4.检查系统C:\Windows\security\IIS文件目录是否存在永恒之蓝（Eternalblue.dll）、永恒浪漫(mance.exe)等攻击程序。

（二）解决方案

1.隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡;

2.切断传播途径：关闭潜在终端的445等网络共享端口，关闭异常的外联访问；

3.查找攻击源，确认感染数量：手工抓包分析或借助态势感知类产品分析，确认全网感染数量；

4.查杀病毒：可使用以下工具进行查杀（）；

5. 在网络出口封堵访问，阻止恶意程序下载攻击组件；

6.提高密码难度：如果主机账号密码为简单密码，建议重置高强度的密码。

四、 应急处置建议

一旦发现系统中存在漏洞被利用的情况，要第一时间上报我中心（电话：84452816），同时开展以下紧急处置：

1.是立即断开被入侵的主机系统的网络连接，防止进一步危害；

2.是留存相关日志信息；

3.是通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接。

网警提醒：请各重点单位注意加强主机设备安全防护，提醒职工不点击来源不明的邮件以及附件，预防感染该病毒。