PowerGhost

1、病毒现象

在C:\Windows\Temp目录下生成cohernece.exe文件，以及java-log-xxxx.log文件，存在恶意进程powershell，不断向外进行RDP爆破和ms17-010漏洞利用，并且释放cohernece.exe。导致病毒用杀毒软件杀掉后过一段时间会再次反复生成。还添加了计划任务，连接恶意域名更新病毒。

2、病毒处置

（1）、使用Tcpview查看链接，定位到恶意的进程powershell，特征：存在异常外连行为，向其他内网主机的445端口（microsoft-ds）或者恶意域名update.7h4uk.com发送连接请求。注意：powershell进程可能不止一个，相同PID为同一进程，确定好恶意的powershell进程并记录PID号。结束掉该进程。

（2）、使用autoruns工具，选择wmi选项卡，删除掉以下两项

（3）、在logon选项卡中，关闭两个带有winmail.exe的条目。

（4）、在scheduled tasks选项卡中，关闭以下三个条目

 

 　　

（5）、结束cohernece.exe进程，并在C:\Windows\Temp目录下删除病毒文件。

（6）、在运行中输入compmgmt.msc，查看计划任务，删除掉如下任务：

 （7）、打ms17-010的补丁，修改服务器密码。

3、病毒详情

https://www.freebuf.com/articles/network/181441.html