黑龙江恶意程序排查及警示.doc

《黑龙江恶意程序排查及警示.doc》由会员分享，可在线阅读，更多相关《黑龙江恶意程序排查及警示.doc（2页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

黑龙江恶意程序排查及警示恶意程序排查及警示缘起发现一个名为【mssecsvc.exe】的进程占用服务器CPU很高导致服务器无法正常工作。初步观察名称ms-sec-svc与微软典型的命名方式比较接近然而查看文件属性却没有提供数字签名：用关键字【mssecsvc.exe】搜索情况不妙：进一步的搜索更加确认这个程序与WannaCry勒索者有关非常危险：处理从网络上下载专杀工具【unhackme】进行清理（共享链接点这里）。考虑到【mssecsvc】是通过网络145端口基于MS17-010漏洞进行蠕虫感染于是要求同时检查其它服务器果然随后在将近10台服务器中发现有该程序长驻逐一清理。根据问题特征发布到公司服务器维护群要求全体现场维护人员对所负责的服务器进行排查。警示现场维护人员要密切关注服务器运行状态对于异常行为要足够敏感；借助查看应用程序文件属性的数字签名可以初步判断一个程序是否正常；服务器安全漏洞一定要及时处理绝大多数恶意程序都是利用系统漏洞进行传播、攻击；服务器要求安装安全管理软件以【mssecsvc.exe】为例如果有安全防护软件则在程序还没有运行的时候就会被拦截掉：第 2 页 共 2 页