近日，多個企業反饋大量主機和服務存在卡頓和藍屏現象，在尋求深信服協助后，使用EDR進行全網掃描發現大量主機感染了相同的病毒。
深信服安全團隊研究發現，該企業用戶中的是最新型的WannaMine變種，之前有WannaMine1.0和WannaMine2.0版本。
此病毒變種，是基于WannaMine改造，加入了一些免殺技術，傳播機制與WannaCry勒索病毒一致（可在局域網內，通過SMB快速橫向擴散），故我們將其命名WannaMine3.0。
國內外發現的首例，國內安全廠商還沒有相關報道。
我們對捕獲的樣本進行分析，發現其接入站點已變更為codidled.com。經查驗，這是一個2018年11月11日剛申請注冊的域名，也就是說，黑客重新編譯WannaMine3.0的時間鎖定為2018年11月11日或以后。

近日，多家醫院先后中招，我們對其傳播速度深感驚訝！未來，感染面也會跟原始變種WannaMine1.0和WannaMine2.0一樣驚人！
0x01 攻擊場景
此次攻擊，沿用了WannaMine1.0和WannaMine2.0的精心設計，涉及的病毒模塊多，感染面廣，關系復雜。

所不同的是，原始“壓縮包”已經變為MarsTraceDiagnostics.xml，其含有所需要的所有攻擊組件。舊病毒的壓縮包是可以直接解壓的，但此變種做了免殺，MarsTraceDiagnostics.xml是一個特殊的數據包，需要病毒自己才能分離出各個組件。其組件有spoolsv.exe、snmpstorsrv.dll等病毒文件，此外，還有“永恒之藍”漏洞攻擊工具集（svchost.exe、spoolsv.exe、x86.dll/x64.dll等）。
本文所述病毒文件，釋放在下列文件目錄中
C:\Windows\System32\MarsTraceDiagnostics.xml
C:\Windows\AppDiagnostics\
C:\Windows\System32\TrustedHostex.exe

攻擊順序：
1.有一個主服務snmpstorsrv,對應動態庫為snmpstorsrv.dll（由系統進程svchost.exe加載），每次都能開機啟動，啟動后加載spoolsv.exe。
2.spoolsv.exe對局域網進行445端口掃描，確定可攻擊的內網主機。同時啟動漏洞攻擊程序svchost.exe和spoolsv.exe（另外一個病毒文件）。
3.svchost.exe執行“永恒之藍”漏洞溢出攻擊（目的IP由第2步確認），成功后spoolsv.exe(NSA黑客工具包DoublePulsar后門）安裝后門，加載payload（x86.dll/x64.dll）。
4.payload（x86.dll/x64.dll）執行后，負責將MarsTraceDiagnostics.xml從本地復制到目的IP主機，再解壓該文件，注冊snmpstorsrv主服務，啟動spoolsv執行攻擊（每感染一臺，都重復步驟1、2、3、4）。

0x02清理早期WannaMine版本
WannaMine3.0特意做了清理早期WannaMine版本的動作，包括刪除或者停掉WannaMine1.0和WannaMine2.0相關的文件、服務和計劃任務等。
清理掉之前WannaMine版本的病毒樣本，如下所示：

1.停掉wmassrv服務，如下所示：

2.刪除UPnPHostServices計劃任務，如下所示：

3.刪除EnrollCertXaml.dll，如下所示：

4.結束永恒之藍攻擊程序以及挖礦程序進程，并刪除相應的文件，如下所示：

相應的進程文件如下：
C:\Windows\SpeechsTracing\spoolsv.exe
C:\Windows\System32\TasksHostServices.exe
C:\Windows\SpeechsTracing\Microsoft\svchost.exe
C:\Windows\SpeechsTracing\Microsoft\spoolsv.exe
5.刪除之前wmassrv.dll文件，如下所示：

6.遍歷之前版本目錄下的文件，然后刪除，如下所示：

相應的目錄，如下所示：
C:\Windows\SpeechsTracing\
C:\Windows\SpeechsTracing\Microsoft\