基于某天在公司打开虚拟机，下载了一个cms准备源码审计。
火绒居然报毒了，突发其然

该系统为win7，防火墙关闭，桥接模式（一般不启动 外网访问不了），139、445端口未关闭。

火绒是最近才安装了 访问该地址发现是个域名厂商还是啥

百度搜一波

确定为WannaMine挖矿地址

发现可疑进程

根据火绒日志
svhost.exe 异常调用cmd
svhost.exe 执行-k NetworkService 开启某个服务网卡？

找到病毒运行传播模块为：spoolsv.exe
病毒运行模块为：svchost.exe

目前确认是因445端口被永恒之蓝漏洞所攻击
找到spoolsv和svchost的配置文件

发现相应的IP地址和端口号被写入到EternalBlue攻击程序svchost.exe的配置文件svchost.xml中

然后通过CreateProcessA函数启动svchost.exe（永恒之蓝攻击程序）进行局域网主机的攻击，同时将这个行为特征记录到stage1.txt。

永恒之蓝攻击完成之后，会修改DoublePulsar后门程序spoolsv.exe的配置文件spoolsv.xml

日志文件被kill

总结：因为最近安装了火绒大部分进程和服务没有被成功启动，近期的日志啥的都没查到。
为毛我虚拟机会搞、有可能是局域网内已有机子早已被种下该病毒、以至于通过爆破我的虚拟机从而入侵。

解决方案
1、隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡。
2、切断传播途径：关闭潜在终端的SMB 445等网络共享端口，关闭异常的外联访问。
3、查找攻击源：手工抓包分析或借助态势感知类产品分析。
4、查杀病毒：推荐使用EDR工具进行查杀。
5、修补漏洞：打上“永恒之蓝”漏洞补丁，请到微软官网，下载对应的漏洞补丁（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）