近期，江民安全實驗室發現有攻擊者利用ms17-010(永恆之藍)漏洞組建殭屍網絡進行門羅幣挖礦操作，該病毒將主模塊通過自定義的加密方式存放到資源節進行靜態免殺，同時在其模塊內部還直接包含了NSA洩露的ms17-010漏洞利用包，最終利用該漏洞進行病毒的傳播感染。該病毒還包含了更新模塊，實現了HTTP和TCP通信，可接受遠程服務器的命令和數據，從而執行任意代碼。被感染的主機還會安裝開源Web服務器模塊mongoose用於感染過程中傳輸關鍵的二進制加密文件EnrollCertXaml.dll，感染部署過程中會進行有針對性的清理工作，用於清理之前感染的門羅幣挖礦程序，從而重新感染部署該病毒程序。

感染流程圖

感染該病毒後，用戶主機將會被黑客用於挖掘門羅幣從而使系統使用性能降低。感染後的主機將完全被控制，每隔0.5小時病毒會與遠程C&C服務器進行通信，用於更新下載感染部署模塊，同時黑客可以通過該病毒遠程執行任意代碼，可以遠程下載任意文件並執行。感染後的主機同時會嘗試感染其他主機，最終使得整個網絡成為一片殭屍網絡。

釋放加密二進製文件EnrollCertXaml.dll。

釋放主模塊感染部署程序wmassrv.dll。

釋放病毒運行過程中的感染配置文件WMASTrace.ini。

嘗試刪除系統中之前感染的門羅幣挖礦組件程序。

釋放壓縮包文件Crypt，解壓後內部包含NSA洩露的漏洞利用包。

將釋放的wmassrv.dll註冊為服務並啟動，服務名為wmassrv。

釋放系統中之前感染殭屍網絡程序創建的互斥體。

創建新的進程TasksHostServices.exe用於門羅幣挖礦操作。

創建新的進程spoolsv.exe用於利用ms17-010漏洞傳播感染。

創建註冊表：

HKLM\SYSTEM\CurrentControlSet\Services\wmassrv。

HKLM\SYSTEM\CurrentControlSet\Services\wmassrv\Parameters。

設置註冊表：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs。

HKLM\System\CurrentControlSet\services\wmassrv\Description。

HKLM\System\CurrentControlSet\services\wmassrv\Parameters\ServiceDll。

嘗試與sand.lcones.com和plam.lcones.com域名進行通信。

嘗試訪問域名內容sand.lcones.com/resource。

嘗試下載域名內容plam.lcones.com/modules.dat。

嘗試與域名tecate.traduires.com進行http通信。

嘗試與域名split.despcartes.tk進行tcp通信。

在Windows服務管理中心停止並卸載病毒主程序服務wmassrv，並刪除病毒主程序C:\Windows\System32\wmassrv.dll。

刪除傳播過程中的關鍵模塊C:\Windows\System32\EnrollCertXaml.dll。

刪除傳播感染配置文件C:\Windows\System32\WMASTrace.ini。

刪除釋放的挖礦程序C:\Windows\System32\TasksHostServices.exe。

刪除釋放的傳播模塊C:\Windows\SpeechsTracing\spoolsv.exe。

刪除釋放的NSA漏洞利用包，即C:\Windows\SpeechsTracing\Microsoft\目錄下所有文件。

刪除病毒配置的註冊表項：

HKLM\SYSTEM\CurrentControlSet\Services\wmassrv。

1、建議用戶及時打上ms17-010漏洞，防止利用此漏洞的病毒進行大肆傳播。

2、建議用戶安裝防毒軟體並開啟檔案監控，使此類型攻擊在檔案落地瞬間即被查殺，從而保證用戶不被惡意代碼感染。

3、建議用戶保持良好的上網習慣，不要隨意打開來路不明的應用程序。

4、建議用戶對於可疑的文檔文件使用防毒軟體掃描後再打開，防止惡意代碼利用文檔漏洞進行傳播運行。

5、如果平時不使用文件共享操作，建議用戶關閉445 Port (端口)杜絕此類型漏洞危害。