客户电脑中毒,锁定几个病毒进程。EDR杀毒、木马专杀工具无法处置,该现象是和深信服外网AF防火墙联动后发现的行为,EDR无感知。

该病毒特征为,每日早上用户开机,均检查到外链du.testjj.com恶意域名。

深信服官方提供的专杀工具和EDR都没有查到病毒,我搜索网络相关内容,发现该病毒是微软激活工具释放的“麻辣香锅”木马病毒,详见如下

其中工具③:暴风激活V16.2,被评定为危险级别激活程序。该程序为Windows激活程序。该激活程序的分析结果如下:

du.testjj.com的域名和wuhost.exe的进程与我们发现的问题完全一致,至此,判定为客户运行该Windows激活工具“暴风激活”植入的木马病毒。

目前该病毒存在公司多台电脑中,且多种杀毒软件均无法处置,希望深信服能够给出方案。

文章扩展链接如下:

[技术原创] 如何看待所谓“Windows/Office激活工具”

https://bbs.kafan.cn/thread-2193445-1-1.html

处置经过

  1. 经分析,EDR等杀毒软件无法查到病毒,基本判定病毒进程被隐藏保护起来,使用卡巴斯基的TDSSkiller专杀工具进行查杀,发现病毒并重启电脑。

TDSSkiller(恶意软件清理助手)是一个可以检测并清除已知和未知的rootkit的辅助工具。Rootkit其主要功能是隐藏其他程序进程的软件。攻击者用来隐藏其踪迹并保留管理员访问权限的工具。TDSSKiller能够帮助我们扫描出恶意软件并删除。

2.通过卡巴斯基云引擎UDS——Urgent Detection System(紧急侦测系统该引擎基于黑名单算法,与已有云上病毒库进行比对,不是基于病毒特征引擎),扫描到:UDS:DangerousObject.Multi.Generic 提示恶意对象,高风险。

由于没有在客户身边守护,客户删除后重启电脑,无法继续跟踪溯源到MD5值。重启后该软件无记录。

3.删除掉恶意隐藏工具后,使用EDR全盘杀毒,很快病毒就暴露出来,以下为查杀结果

4.至此,该病毒被正常删除,后期还会重启该电脑跟踪问题。这次没有搞到MD5,是最大的遗憾,如果拿到md5数据反馈给深信服,整个公司就可以第一时间通过EDR删除该病毒。

关于windows激活程序的木马病毒分析及处置方法的更多相关文章

  1. Backdoor.Zegost木马病毒分析(一)

    http://blog.csdn.net/qq1084283172/article/details/50413426 一.样本信息 样本名称:rt55.exe 样本大小: 159288 字节 文件类型 ...

  2. 感染性的木马病毒分析之样本KWSUpreport.exe

    一.病毒样本简述 初次拿到样本 KWSUpreport_感染.exe.v 文件,通过使用PE工具,并不能辨别出该样本是那种感染类型,使用了一个比较直接的方法,从网上查资料,获取到了该样本的正常EXE文 ...

  3. Linux和windows 查看程序、进程的依赖库的方法

    Linux: 1. 利用ldd查看可执行程序的依赖库   [root@~]# ldd /usr/local/php/bin/php   linux-vdso.so.1 => (0x00007ff ...

  4. 病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御

    前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术.之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本 ...

  5. 一个简单的Android木马病毒的分析

    一.样本信息 文件名称: 一个安卓病毒木马.apk 文件大小:242867 byte 文件类型:application/jar 病毒名称:Android.Trojan.SMSSend.KS 样本MD5 ...

  6. Android木马病毒com.schemedroid的分析报告

    某安全公司移动病毒分析报告的面试题目,该病毒样本的代码量比较大,最大的分析障碍是该病毒样本的类名称和类方法名称以及类成员变量的名称被混淆为无法辨认的特殊字符,每个被分析的类中所有的字符串都被加密处理了 ...

  7. 分析现有 WPF / Windows Forms 程序能否顺利迁移到 .NET Core 3.0(使用 .NET Core 3.0 Desktop API Analyzer )

    今年五月的 Build 大会上,微软说 .NET Core 3.0 将带来 WPF / Windows Forms 这些桌面应用的支持.当然,是通过 Windows 兼容包(Windows Compa ...

  8. 分析现有 WPF / Windows Forms 程序能否顺利迁移到 .NET Core 3.0

    本文转自 https://blog.csdn.net/WPwalter/article/details/82859449 使用 .NET Core 3.0 Desktop API Analyzer 分 ...

  9. 脚本病毒分析扫描专题1-VBA代码阅读扫盲、宏病毒分析

    1.Office Macor MS office宏的编程语言是Visual Basic For Applications(VBA). 微软在1994年发行的Excel5.0版本中,即具备了VBA的宏功 ...

  10. 普及windows流氓程序和监控软件

    win7下载更改后无黑屏windows7激活程序v1.0 一个立即安装 美女主播节目,和流行的色情垃圾邮件 安装程序,结果装了很多垃圾节目,输入.日历.文件等. 重新启动机器后,,会弹出广告. .他的 ...

随机推荐

  1. Node.js 20 —— 几个令人大开眼界的特性

    前言:欢迎来到 Node.js 20 Node.js 20 已经发布,带来了创新和激动人心的新时代.这个开创性的版本于2023年4月18日首次亮相,并将在2023年10月发布长期支持(LTS)版本,并 ...

  2. Towards Network Anomaly Detection Using Graph Embedding笔记

    Towards Network Anomaly Detection Using Graph Embedding 目录 Towards Network Anomaly Detection Using G ...

  3. Django框架项目之课程主页——课程页页面、课程表分析、课程表数据、课程页面、课程接口、前台、后台

    文章目录 1-课程页页面 课程组件 2 课程主页之课程表分析 课程表分析 免费课案例 创建models:course/models.py 注册models:course/adminx.py 数据库迁移 ...

  4. 解决在VS Code中运行有中文字符的Java代码(第三种方式),出现编码 GBK 的不可映射字符 (0x81)

    写代码时,我们不避免的会使用一些中文注释,这些在其他的语言中没有问题.但是在Java的注释里面如果有中文字符,就会报错.即使文件编码是utf-8也无济于事.是因为使用CMD运行java程序的时候,系统 ...

  5. [NSSRound#1 Basic]basic_check

    打开网站,发现啥也没有: 就用dirsearch扫了一遍.发现还是没有有用信息: 只有再另找方法: 再用nikto扫一次: 发现一个put方法,就用put上传一个一句话木马:可以用插件restlien ...

  6. 传纸条(lgP1006)

    终于有一道一遍过的题了/kk/kk 发现前几道都很难(总之暂时没想出来)就先把这个写了. 其实这题四维 dp 好像能过,但既然写了就写正解吧... 因为路径正着走和反着走都是一样的,所以问题就是求从左 ...

  7. Mybatis-plus 生成代码

    引入依赖 <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-g ...

  8. Flyweight 享元模式简介与 C# 示例【结构型6】【设计模式来了_11】

    〇.简介 1.什么是享元模式? 一句话解释:   将相似或同类的对象共享同一个对象,将这些对象暂存在列表中,使用时直接取出,避免每次使用时都要新建浪费资源. 享元模式的目的是减少对象的创建,通过共享对 ...

  9. CSS display属性的作用

    作者:WangMin 格言:努力做好自己喜欢的每一件事 网页上的每个元素都是一个矩形框.CSS中的display属性决定了矩形框的行为.display属性是我们在前端开发中常常使用的一个属性. dis ...

  10. Util应用框架基础(四) - 验证

    本节介绍Util应用框架如何进行验证. 概述 验证是业务健壮性的基础. .Net 提供了一套称为 DataAnnotations 数据注解的方法,可以对属性进行一些基本验证,比如必填项验证,长度验证等 ...