应急响应 – 紫狐木马处置

特征确认

1、cpu 占用率较高

2、netstat -ano 查看有大量的对外 1433 不明连接

3、输入 fltmc 发现存在 dump_xx 过滤器,为紫狐木马病毒特征(管理员权限)

应急响应 - 紫狐木马处置

处置方式

使用 everything 检索 ms*.dll 筛选出恶意 dll

应急响应 - 紫狐木马处置

到相应的目录下无法直接查看

应急响应 - 紫狐木马处置

通过注册表找到恶意键值进行删除

应急响应 - 紫狐木马处置

删除后进行重启,重启后到 C:WindowsSystem32 目录下可发现恶意的 dll 文件

应急响应 - 紫狐木马处置

恢复确认

cmd 输入 fltmc 查看恢复正常

应急响应 - 紫狐木马处置

Cpu 占用率变低

应急响应 - 紫狐木马处置

没有了恶意外连

应急响应 - 紫狐木马处置
© 版权声明
THE END
喜欢就支持一下吧
点赞8 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容