清除PowerShell挖礦病毒

閩人

1. 查看PowerShell.exe加載的文件

啟動(dòng)任務(wù)管理器，切換到“詳細(xì)信息”選項(xiàng)卡，右擊狀態(tài)欄并選擇“選擇列”，在彈出的對(duì)話框中勾選“路徑名稱(chēng)”和“命令行”并點(diǎn)擊“確認(rèn)”按鈕（圖1）。

從打開(kāi)的窗口中可以看出，Powe r S h e l l .exe加載的文件是“C：＼Windows＼System32＼Wi n d ow s P o w e r S h e l l ＼ v 1. 0 ＼ p o w e r s h e l l .exe”，經(jīng)過(guò)檢查確認(rèn)其為正常的系統(tǒng)文件，運(yùn)行的命令行為“powershell.exe -NoP -NonI-Whidden -E JABz AHQA……（“-E”后為一長(zhǎng)串代碼）”（圖2）。

在該命令行中，PowerShell.exe使用了不同的參數(shù)在后臺(tái)執(zhí)行指定的命令，其中：

-NoP（-NoProfile的縮寫(xiě)）表示啟動(dòng)PowerShell時(shí)不執(zhí)行當(dāng)前用戶(hù)導(dǎo)入的配置文件內(nèi)的腳本，這樣病毒可以自行加載腳本;-NonI（-NonInteractive的縮寫(xiě)）表示不向用戶(hù)顯示交互式提示，可以避免后臺(tái)命令被發(fā)現(xiàn);-W hidden表示PowerShell的會(huì)話窗口以隱藏的方式啟動(dòng)，便于命令在后臺(tái)靜默運(yùn)行;-E（-EncodedCommand的縮寫(xiě)）表示接受以加密的BASE64編碼的字符串版本作為命令字符，可以避免用戶(hù)看到實(shí)際加載的命令參數(shù)。

顯然這是一個(gè)異常的命令行，病毒正是通過(guò)PowerShell.exe加載BASE64編碼來(lái)實(shí)現(xiàn)攻擊的。

2. 解碼BASE64編碼

通過(guò)上面的分析可以知道，參數(shù)“-E”后的B A S E 6 4編碼就是病毒的主體文件，B A S E 6 4編碼可以通過(guò)“ h t t p s ： / / t o o l . o s c h i n a . n e t /encr ypt？type=3”提供的在線服務(wù)解碼。打開(kāi)上述的鏈接后，按提示復(fù)制圖2中參數(shù)“-E”后的全部BASE64編碼并粘貼到“BASE64：”下的文本框中，然后點(diǎn)擊“BASE64解碼”按鈕，在左側(cè)的窗格中即可看到解碼后的內(nèi)容（圖3）。

3. 查看攻擊腳本

從圖3 所示的解碼內(nèi)容可以看出這是一個(gè)WMICl a s s攻擊腳本，使用的名稱(chēng)為“Wi n 3 2 _Ser v ic e s”。對(duì)于本機(jī)WM I腳本的查看，可以按下“Wi n +R”快捷鍵打開(kāi)“運(yùn)行”對(duì)話框，輸入“wb emte st.exe”并回車(chē)，會(huì)啟動(dòng)“WindowsManagement Instrumentation測(cè)試器”（圖4）。

點(diǎn)擊“連接”按鈕，在打開(kāi)的窗口中的“命名空間”選項(xiàng)下輸入“root＼default”（依據(jù)圖3“$funs”代碼后的“root＼default”來(lái)確定），其他使用默認(rèn)設(shè)置，然后點(diǎn)擊“連接”（圖5）。

成功連接后會(huì)返回到測(cè)試器的主界面，點(diǎn)擊“枚舉類(lèi)”按鈕，在查詢(xún)結(jié)果列表中找到名為“Win32_Services”的對(duì)象（依據(jù)圖3中的“'root＼default：Win32_ Services'”代碼確定）。選中該對(duì)象并點(diǎn)擊“刪除”按鈕，就可以將WMI病毒添加的攻擊對(duì)象刪除了（圖6）。

4. 刪除任務(wù)計(jì)劃

啟動(dòng)任務(wù)計(jì)劃程序，在左側(cè)欄中依次展開(kāi)“任務(wù)計(jì)劃程序（本地）→任務(wù)計(jì)劃程序庫(kù)”，在右側(cè)的窗格中可以找到一個(gè)名為“System Log Security Check”的計(jì)劃，它的觸發(fā)器是每隔1小時(shí)運(yùn)行一次，和終止PowerShell.exe進(jìn)程后再次運(yùn)行的時(shí)間非常吻合（圖7）。

雙擊打開(kāi)該任務(wù)，依次切換到“操作→啟動(dòng)程序”，可以看到其運(yùn)行的命令正是Powe r Shell.exe，運(yùn)行參數(shù)和圖2所示窗口中的一致（圖8）。至此可以判定它就是病毒創(chuàng)建的任務(wù)計(jì)劃，用于在后臺(tái)定時(shí)運(yùn)行WMIClass腳本。按圖示刪除該任務(wù)計(jì)劃，然后用安全軟件全盤(pán)掃描一次。再次重啟后電腦恢復(fù)正常，自此順利地刪除該病毒。