关于windows激活程序的木马病毒分析及处置方法

客户电脑中毒，锁定几个病毒进程。EDR杀毒、木马专杀工具无法处置，该现象是和深信服外网AF防火墙联动后发现的行为，EDR无感知。

该病毒特征为，每日早上用户开机，均检查到外链du.testjj.com恶意域名。

深信服官方提供的专杀工具和EDR都没有查到病毒，我搜索网络相关内容，发现该病毒是微软激活工具释放的“麻辣香锅”木马病毒，详见如下

其中工具③：暴风激活V16.2，被评定为危险级别激活程序。该程序为Windows激活程序。该激活程序的分析结果如下：

du.testjj.com的域名和wuhost.exe的进程与我们发现的问题完全一致，至此，判定为客户运行该Windows激活工具“暴风激活”植入的木马病毒。

目前该病毒存在公司多台电脑中，且多种杀毒软件均无法处置，希望深信服能够给出方案。

文章扩展链接如下：

[技术原创] 如何看待所谓“Windows/Office激活工具”

https://bbs.kafan.cn/thread-2193445-1-1.html

_{^处置经过}

1. 经分析，EDR等杀毒软件无法查到病毒，基本判定病毒进程被隐藏保护起来，使用卡巴斯基的TDSSkiller专杀工具进行查杀，发现病毒并重启电脑。

TDSSkiller(恶意软件清理助手)是一个可以检测并清除已知和未知的rootkit的辅助工具。Rootkit其主要功能是隐藏其他程序进程的软件。攻击者用来隐藏其踪迹并保留管理员访问权限的工具。TDSSKiller能够帮助我们扫描出恶意软件并删除。

2.通过卡巴斯基云引擎UDS——Urgent Detection System（紧急侦测系统该引擎基于黑名单算法，与已有云上病毒库进行比对，不是基于病毒特征引擎），扫描到：UDS:DangerousObject.Multi.Generic 提示恶意对象，高风险。

由于没有在客户身边守护，客户删除后重启电脑，无法继续跟踪溯源到MD5值。重启后该软件无记录。

3.删除掉恶意隐藏工具后，使用EDR全盘杀毒，很快病毒就暴露出来，以下为查杀结果

4.至此，该病毒被正常删除，后期还会重启该电脑跟踪问题。这次没有搞到MD5，是最大的遗憾，如果拿到md5数据反馈给深信服，整个公司就可以第一时间通过EDR删除该病毒。