应急响应 - 紫狐木马处置

举报
亿人安全 发表于 2023/05/30 21:53:06 2023/05/30
【摘要】 特征确认1、cpu 占用率较高2、netstat -ano 查看有大量的对外 1433 不明连接3、输入 fltmc 发现存在 dump_xx 过滤器,为紫狐木马病毒特征(管理员权限)处置方式使用 everything 检索 ms*.dll 筛选出恶意 dll到相应的目录下无法直接查看通过注册表找到恶意键值进行删除删除后进行重启,重启后到 C:\Windows\System32 目录下可发现...

特征确认

1、cpu 占用率较高

2、netstat -ano 查看有大量的对外 1433 不明连接

3、输入 fltmc 发现存在 dump_xx 过滤器,为紫狐木马病毒特征(管理员权限)

image-20220410214545961

处置方式

使用 everything 检索 ms*.dll 筛选出恶意 dll

img

到相应的目录下无法直接查看

img

通过注册表找到恶意键值进行删除

img

img

删除后进行重启,重启后到 C:\Windows\System32 目录下可发现恶意的 dll 文件

image-20220410214732050

恢复确认

cmd 输入 fltmc 查看恢复正常

img

Cpu 占用率变低

img

没有了恶意外连

image-20220410214830329

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。