清除PowerShell挖礦病毒

閩人

1. 查看PowerShell.exe加載的文件

啟動任務管理器，切換到“詳細信息”選項卡，右擊狀態欄并選擇“選擇列”，在彈出的對話框中勾選“路徑名稱”和“命令行”并點擊“確認”按鈕（圖1）。

從打開的窗口中可以看出，Powe r S h e l l .exe加載的文件是“C：＼Windows＼System32＼Wi n d ow s P o w e r S h e l l ＼ v 1. 0 ＼ p o w e r s h e l l .exe”，經過檢查確認其為正常的系統文件，運行的命令行為“powershell.exe -NoP -NonI-Whidden -E JABz AHQA……（“-E”后為一長串代碼）”（圖2）。

在該命令行中，PowerShell.exe使用了不同的參數在后臺執行指定的命令，其中：

-NoP（-NoProfile的縮寫）表示啟動PowerShell時不執行當前用戶導入的配置文件內的腳本，這樣病毒可以自行加載腳本;-NonI（-NonInteractive的縮寫）表示不向用戶顯示交互式提示，可以避免后臺命令被發現;-W hidden表示PowerShell的會話窗口以隱藏的方式啟動，便于命令在后臺靜默運行;-E（-EncodedCommand的縮寫）表示接受以加密的BASE64編碼的字符串版本作為命令字符，可以避免用戶看到實際加載的命令參數。

顯然這是一個異常的命令行，病毒正是通過PowerShell.exe加載BASE64編碼來實現攻擊的。

2. 解碼BASE64編碼

通過上面的分析可以知道，參數“-E”后的B A S E 6 4編碼就是病毒的主體文件，B A S E 6 4編碼可以通過“ h t t p s ： / / t o o l . o s c h i n a . n e t /encr ypt？type=3”提供的在線服務解碼。打開上述的鏈接后，按提示復制圖2中參數“-E”后的全部BASE64編碼并粘貼到“BASE64：”下的文本框中，然后點擊“BASE64解碼”按鈕，在左側的窗格中即可看到解碼后的內容（圖3）。

3. 查看攻擊腳本

從圖3 所示的解碼內容可以看出這是一個WMICl a s s攻擊腳本，使用的名稱為“Wi n 3 2 _Ser v ic e s”。對于本機WM I腳本的查看，可以按下“Wi n +R”快捷鍵打開“運行”對話框，輸入“wb emte st.exe”并回車，會啟動“WindowsManagement Instrumentation測試器”（圖4）。

點擊“連接”按鈕，在打開的窗口中的“命名空間”選項下輸入“root＼default”（依據圖3“$funs”代碼后的“root＼default”來確定），其他使用默認設置，然后點擊“連接”（圖5）。

成功連接后會返回到測試器的主界面，點擊“枚舉類”按鈕，在查詢結果列表中找到名為“Win32_Services”的對象（依據圖3中的“'root＼default：Win32_ Services'”代碼確定）。選中該對象并點擊“刪除”按鈕，就可以將WMI病毒添加的攻擊對象刪除了（圖6）。

4. 刪除任務計劃

啟動任務計劃程序，在左側欄中依次展開“任務計劃程序（本地）→任務計劃程序庫”，在右側的窗格中可以找到一個名為“System Log Security Check”的計劃，它的觸發器是每隔1小時運行一次，和終止PowerShell.exe進程后再次運行的時間非常吻合（圖7）。

雙擊打開該任務，依次切換到“操作→啟動程序”，可以看到其運行的命令正是Powe r Shell.exe，運行參數和圖2所示窗口中的一致（圖8）。至此可以判定它就是病毒創建的任務計劃，用于在后臺定時運行WMIClass腳本。按圖示刪除該任務計劃，然后用安全軟件全盤掃描一次。再次重啟后電腦恢復正常，自此順利地刪除該病毒。