关于windows激活程序的木马病毒分析及处置方法
客户电脑中毒,锁定几个病毒进程。EDR杀毒、木马专杀工具无法处置,该现象是和深信服外网AF防火墙联动后发现的行为,EDR无感知。
该病毒特征为,每日早上用户开机,均检查到外链du.testjj.com恶意域名。
深信服官方提供的专杀工具和EDR都没有查到病毒,我搜索网络相关内容,发现该病毒是微软激活工具释放的“麻辣香锅”木马病毒,详见如下
其中工具③:暴风激活V16.2,被评定为危险级别激活程序。该程序为Windows激活程序。该激活程序的分析结果如下:
du.testjj.com的域名和wuhost.exe的进程与我们发现的问题完全一致,至此,判定为客户运行该Windows激活工具“暴风激活”植入的木马病毒。
目前该病毒存在公司多台电脑中,且多种杀毒软件均无法处置,希望深信服能够给出方案。
文章扩展链接如下:
[技术原创] 如何看待所谓“Windows/Office激活工具”
https://bbs.kafan.cn/thread-2193445-1-1.html
处置经过
- 经分析,EDR等杀毒软件无法查到病毒,基本判定病毒进程被隐藏保护起来,使用卡巴斯基的TDSSkiller专杀工具进行查杀,发现病毒并重启电脑。
TDSSkiller(恶意软件清理助手)是一个可以检测并清除已知和未知的rootkit的辅助工具。Rootkit其主要功能是隐藏其他程序进程的软件。攻击者用来隐藏其踪迹并保留管理员访问权限的工具。TDSSKiller能够帮助我们扫描出恶意软件并删除。
2.通过卡巴斯基云引擎UDS——Urgent Detection System(紧急侦测系统该引擎基于黑名单算法,与已有云上病毒库进行比对,不是基于病毒特征引擎),扫描到:UDS:DangerousObject.Multi.Generic 提示恶意对象,高风险。
由于没有在客户身边守护,客户删除后重启电脑,无法继续跟踪溯源到MD5值。重启后该软件无记录。
3.删除掉恶意隐藏工具后,使用EDR全盘杀毒,很快病毒就暴露出来,以下为查杀结果
4.至此,该病毒被正常删除,后期还会重启该电脑跟踪问题。这次没有搞到MD5,是最大的遗憾,如果拿到md5数据反馈给深信服,整个公司就可以第一时间通过EDR删除该病毒。