麻辣香锅病毒介绍

“麻辣香锅“病毒由于其早期版本病毒模块所在目录为” Mlxg_km “因此得名，该病毒通过小马激活，暴风激活，KMS激活等激活工具进行传播，用户中毒后首页会被劫持到病毒作者预设的跳转链接

病毒恶意行为流程图，如下图所示：

特征

wrme.exe模块会启动执行模块wuhost.exe和wdlogin.exe。同时会收集终端用户的MAC地址,CPU, GPU, 系统版本，安装的杀软等信息，加密发送到C&C服务器（du.testjj.com:8083）

处置

经最近处理的几起麻辣香锅病毒处置事件，杀软（企业级天擎防病毒、360安全卫士、火绒、火绒麻辣香锅专杀工具）无法彻底查杀，在查杀后依然有访问du.testjj.com的威胁情报告警

建议手动处理，下面是在WB社区讨论的经验

1. 进入安全模式

2. 删除如下文件或文件夹： %localappdata%\Microsoft\WindowsApps目录下的所有.sys文件 删除隐藏文件夹：%Appdata% \5kBitComet（随机命名文件夹） %temp%\J833.exe（随机命名文件）

3. 重启后进入系统；

4. 删除系统激活下的KMS激活、暴风激活、小马激活等所有文件；

5. 删除Mlxg_km文件夹以及该目录下所有文件；

6. 删除以下6个服务:（一般会驻留3~4个服务） R、LSI_SAS2I、iaLPSS1z、UmFIFILE、HVTPS、tbtool； 使用everything手动查找wrme.exe、wdlogin.exe、wccenter.exe、wuhost.exe等文件并删除。为了方便判断，首先安装文件搜索工具Everything，官网链接http://www.voidtools.com/

 7.使用hosts拉黑域名du.testjj.com、da.testiu.com

C:\Windows\System32\drivers\etc\hosts

8.因为麻辣香锅是劫持浏览器主页，有必要的话，清除所有数据并重装浏览器