[作者：byeyear    郵箱：[email protected]    轉載請註明]

前兩天公司資訊保安處通知我的計算機存在永恆之藍漏洞並已被病毒感染，使用多方殺軟及專殺工具均無法有效清除，遂設法進行手工清除。

在被感染計算機上進行分析，對比被感染計算機和未感染計算機系統目錄內容，初步測試後可確定該病毒較為明顯的特徵如下：

在Windows目錄下建立資料夾NetworkDistribution，該目錄下存放的是進行感染所需的檔案，感染完成後不再需要；

在Windows\system32目錄下建立檔案dllhostex.exe，隨系統啟動，刪除後自動恢復，初步判斷存在隱藏程序或偽裝系統服務。

根據以上特徵在網上搜索病毒資訊，可知該病毒註冊了系統服務，其作為服務執行的主檔名（dll檔案）按如下規則構造：

第一字串：Windows、Microsoft、Network、Remote、Function、Secure、Application

第二字串：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP

第三字串：Service、Host、Client、Event、Manager、Helper、System

從以上三組字串中隨機各取其一組合成最終檔名。例如WindowsUpdateService.dll、MicrosoftNetBIOSEvent.dll等。

根據以上資訊，制定並執行如下清除步驟：、

0. 斷開網路連線

1. 進入安全模式

2. 刪除NetworkDistribution資料夾

3. 刪除dllhostex.exe檔案

4. 建立一個空NetworkDistribution資料夾，並將所有許可權設定為“拒絕”；

5. 建立一個空dllhostex.exe檔案，並將所有許可權設定為“拒絕”；

6. 使用Everything檔名搜尋工具，按如下正則表示式搜尋符合條件的檔名：

(Windows|Microsoft|Network|Remote|Function|Secure|Application)(Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP)(Service|Host|Client|Event|Manager|Helper|System)

7. 刪除符合搜尋條件的檔案；

8. 根據上述檔案，刪除登錄檔中對應服務鍵；

9. 防火牆禁止如下埠：137-139，445

經過以上處理後，公司資訊保安處未再監測到我計算機上的異常活動。可能還存在病毒殘餘，隨它去了。

教訓：及時更新補丁；關閉易引發問題的埠。

作者簡介：長江中下游地區十八線小縣城創業板民營企業大叔年齡技術員一枚，工作與研究方向為計算機介面技術、數字訊號處理、嵌入式系統