应急响应案例2-Windows Rootkit系列之紫狐病毒（驱动隐藏）

文章预览

1. 概述 一般情况下，常规的如恶意dll注入到svchost.exe进程以后，若没有持久化的话我们直接重启svchost.exe即可清除相关的恶意dll；若存在持久化的话，一般情况下是通过注册表、服务、进程、定时任务来实现持久化。但在前几天应急的话发现一个难搞的顽固病毒-紫狐，处置了很久，记录一下。 该病毒的攻击方式主要可以利用以下方式来实现： SMB爆破 sqlserver爆破 永恒之蓝 2. 病毒特征 分析了一下，该病毒主要有以下特征： DLL 文件加强壳加载驱动方式实现隐藏利用 PendingFileRenameOperations 实现延时删除注入系统进程 svchost .exe 躲避检测 3. 病毒应急 3.1 病毒现象 某用户内网多台主机同时报端口扫描， 通过监测平台看了一下，对大量互联网的445端口进行扫描 登录到本机，可以看到相关的进程为svchost.exe 按照常规的思路，直接把svchost.exe给干掉，发现过一 ………………………………