恶意程序排查及警示 1 缘起 发现一个名为【mssecsvc.exe】的进程,占用服务器 CPU 很高,导致服务器无法正常工作。
初步观察名称,ms-sec-svc,与微软典型的命名方式比较接近,然而查看文件属性,却没有提供数字签名:
用关键字【mssecsvc.exe】搜索,情况不妙:
进一步的搜索更加确认,这个程序与 WannaCry 勒索者有关,非常危险:
2 处理 从网络上下载专杀工具【unhackme】进行清理(共享链接点这里)。
考虑到【mssecsvc】是通过网络 145 端口,基于 MS17-010 漏洞进行蠕虫感染,于是要求同时检查其它服务器,果然随后在将近 10 台服务器中发现有该程序长驻,逐一清理。
根据问题特征,发布到公司服务器维护群,要求全体现场维护人员对所负责的服务器进行排查。
3 警示 1. 现场维护人员要密切关注服务器运行状态,对于异常行为要足够敏感; 2. 借助查看应用程序文件属性的数字签名,可以初步判断一个程序是否正常;
3. 服务器安全漏洞一定要及时处理,绝大多数恶意程序都是利用系统漏洞进行传播、攻击; 4. 服务器要求安装安全管理软件,以【mssecsvc.exe】为例,如果有安全防护软件,则在程序还没有运行的时候,就会被拦截掉: