应急响应：记一次紫狐rootkit处置

事件现象

横向对445端口发起攻击，且进程为系统进程svchost.exe

事件处置

定位进程，发现为系统进程svchost.exe

但是通过火绒剑未发现恶意dll文件，应该是被隐藏

通过fltmc命令查看过滤驱动程序（紫狐木马特征），存在紫狐木马过滤器

紫狐rootkit的恶意dll特征：Ms*.dll
通过everthing搜索，查看恶意dll文件，发现对应目录下的文件不存在，应该是被隐藏


查看注册表，通过注册表进行隐藏


删除恶意注册表，重启后删除恶意dll文件。