特征确认
1、cpu 占用率较高
2、netstat -ano 查看有大量的对外 1433 不明连接
3、输入 fltmc 发现存在 dump_xx 过滤器,为紫狐木马病毒特征(管理员权限)
![图片[1]-应急响应 – 紫狐木马处置-XSS博客](https://blog.xsx.tw/wp-content/uploads/2024/05/d2b5ca33bd20240504165139-1024x238.png)
处置方式
使用 everything 检索 ms*.dll 筛选出恶意 dll
![图片[2]-应急响应 – 紫狐木马处置-XSS博客](https://blog.xsx.tw/wp-content/uploads/2024/05/d2b5ca33bd20240504165150.png)
到相应的目录下无法直接查看
![图片[3]-应急响应 – 紫狐木马处置-XSS博客](https://blog.xsx.tw/wp-content/uploads/2024/05/d2b5ca33bd20240504165201.png)
通过注册表找到恶意键值进行删除
![图片[4]-应急响应 – 紫狐木马处置-XSS博客](https://blog.xsx.tw/wp-content/uploads/2024/05/d2b5ca33bd20240504165210.png)
删除后进行重启,重启后到 C:\Windows\System32 目录下可发现恶意的 dll 文件
![图片[5]-应急响应 – 紫狐木马处置-XSS博客](https://blog.xsx.tw/wp-content/uploads/2024/05/d2b5ca33bd20240504165222-1024x523.png)
恢复确认
cmd 输入 fltmc 查看恢复正常
![图片[6]-应急响应 – 紫狐木马处置-XSS博客](https://blog.xsx.tw/wp-content/uploads/2024/05/d2b5ca33bd20240504165236.png)
Cpu 占用率变低
![图片[7]-应急响应 – 紫狐木马处置-XSS博客](https://blog.xsx.tw/wp-content/uploads/2024/05/d2b5ca33bd20240504165246.png)
没有了恶意外连
![图片[8]-应急响应 – 紫狐木马处置-XSS博客](https://blog.xsx.tw/wp-content/uploads/2024/05/d2b5ca33bd20240504165259-1024x559.png)
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容