客戶電腦中毒,鎖定幾個病毒進程。EDR殺毒、木馬專殺工具無法處置,該現象是和深信服外網AF防火牆聯動后發現的行為,EDR無感知。
該病毒特征為,每日早上用戶開機,均檢查到外鏈du.testjj.com惡意域名。
深信服官方提供的專殺工具和EDR都沒有查到病毒,我搜索網絡相關內容,發現該病毒是微軟激活工具釋放的“麻辣香鍋”木馬病毒,詳見如下
其中工具③:暴風激活V16.2,被評定為危險級別激活程序。該程序為Windows激活程序。該激活程序的分析結果如下:
du.testjj.com的域名和wuhost.exe的進程與我們發現的問題完全一致,至此,判定為客戶運行該Windows激活工具“暴風激活”植入的木馬病毒。
目前該病毒存在公司多台電腦中,且多種殺毒軟件均無法處置,希望深信服能夠給出方案。
文章擴展鏈接如下:
[技術原創] 如何看待所謂“Windows/Office激活工具”
https://bbs.kafan.cn/thread-2193445-1-1.html
處置經過
- 經分析,EDR等殺毒軟件無法查到病毒,基本判定病毒進程被隱藏保護起來,使用卡巴斯基的TDSSkiller專殺工具進行查殺,發現病毒並重啟電腦。
TDSSkiller(惡意軟件清理助手)是一個可以檢測並清除已知和未知的rootkit的輔助工具。Rootkit其主要功能是隱藏其他程序進程的軟件。攻擊者用來隱藏其蹤跡並保留管理員訪問權限的工具。TDSSKiller能夠幫助我們掃描出惡意軟件並刪除。
2.通過卡巴斯基雲引擎UDS——Urgent Detection System(緊急偵測系統該引擎基於黑名單算法,與已有雲上病毒庫進行比對,不是基於病毒特征引擎),掃描到:UDS:DangerousObject.Multi.Generic 提示惡意對象,高風險。
由於沒有在客戶身邊守護,客戶刪除后重啟電腦,無法繼續跟蹤溯源到MD5值。重啟后該軟件無記錄。
3.刪除掉惡意隱藏工具后,使用EDR全盤殺毒,很快病毒就暴露出來,以下為查殺結果
4.至此,該病毒被正常刪除,后期還會重啟該電腦跟蹤問題。這次沒有搞到MD5,是最大的遺憾,如果拿到md5數據反饋給深信服,整個公司就可以第一時間通過EDR刪除該病毒。