关于windows激活程序的⽊马病毒分析及处置⽅法 美容笔客户电脑中毒,锁定⼏个病毒进程。EDR杀毒、⽊马专杀⼯具⽆法处置,该现象是和深信服外⽹AF防⽕墙联动后发现的⾏为,EDR⽆感知。 该病毒特征为,每⽇早上⽤户开机,均检查到外链du.testjj恶意域名。
深信服官⽅提供的专杀⼯具和EDR都没有查到病毒,我搜索⽹络相关内容,发现该病毒是微软激活⼯具释放的“⿇辣⾹锅”⽊马病毒,详见如下
其中⼯具③:暴风激活V16.2,被评定为危险级别激活程序。该程序为Windows激活程序。该激活程序的分析结果如下:
⽬前该病毒存在公司多台电脑中,且多种杀毒软件均⽆法处置,希望深信服能够给出⽅案。
⽂章扩展链接如下:光学检测技术
体香糖
[技术原创] 如何看待所谓“Windows/Office激活⼯具”叶片锁
处置经过
1. 经分析,EDR等杀毒软件⽆法查到病毒,基本判定病毒进程被隐藏保护起来,使⽤卡巴斯基的TDSSkiller专杀⼯具进⾏查杀,发现病 sky angel vol.96
毒并重启电脑。
TDSSkiller(恶意软件清理助⼿)是⼀个可以检测并清除已知和未知的rootkit的辅助⼯具。Rootkit其主要功能是隐藏其他程序进程的软件。攻击者⽤来隐藏其踪迹并保留管理员访问权限的⼯具。TDSSKiller能够帮助我们扫描出恶意软件并删除。
2.通过卡巴斯基云引擎UDS——Urgent Detection System(紧急侦测系统该引擎基于⿊名单算法,与已有云上病毒库进⾏⽐对,不是基于病毒特征引擎),扫描到:UDS:DangerousObject.Multi.Generic 提⽰恶意对象,⾼风险。
由于没有在客户⾝边守护,客户删除后重启电脑,⽆法继续跟踪溯源到MD5值。重启后该软件⽆记录。
3.删除掉恶意隐藏⼯具后,使⽤EDR全盘杀毒,很快病毒就暴露出来,以下为查杀结果
冰车
4.⾄此,该病毒被正常删除,后期还会重启该电脑跟踪问题。这次没有搞到MD5,是最⼤的遗憾,如果拿到md5数据反馈给深信服,整个公
司就可以第⼀时间通过EDR删除该病毒。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议