紫狐木马的现象与排障过程

最新推荐文章于 2025-03-04 22:12:58 发布
最新推荐文章于 2025-03-04 22:12:58 发布
阅读量1.2k 收藏 9
点赞数 12
分类专栏: 运维经验分享 文章标签: 服务器 windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ihaveapanchan/article/details/136300470
版权

一、现象

        安全中心近期接到用户反馈,在下载安装并且使用了某个下载器后,电脑不定期的会被安装,甚至重复安装各种软件,在提取相关文件分析后,我们发现这是一类利用系统正常"Pending File Rename Operations"机制替换系统文件,实现开机自动启动加载驱动(自动下载软件)的恶意木马,我们将其命名为"紫狐"。据初步统计,目前至少有三万以上用户中毒。

        “紫狐”木马最早出现于2018年3月,通过与游戏外挂、第三方安装程序捆绑传播,该木马如同其名字一样具有狐狸般的狡猾,应用了极强的反检测能力,除了功能DLL文件加强壳外,还会通过加载驱动的方式进行隐藏,并且利用PendingFileRenameOperations实现延时删除,注入系统进程以躲避检测。

1.主机存在一个scvhost.exe进程,不断向外进行永恒之蓝漏洞攻击和1433扫描爆破:

2.使用everything.exe搜索*.dll,按修改时间降序,可以搜索到C:\Windows\System32目录下名为MsxxxxxxApp.dll的文件,中间“xxxxx”为随机数字:

二、处置建议

1.主机打上永恒之蓝漏洞补丁;
2.数据库使用复杂密码;
3.进入安全模式;
4.删除文件C:\Windows\System32\MsxxxxxxApp.dll;
5.在注册表;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\PendingFileRenameOperations中删除C:\Windows\System32\MsxxxxxxApp.dll


6.删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost的netsvcs值中删除MsxxxxxxApp相关值


7.重启计算机,查看不存在外连445和1433端口的svchost.exe进程即可

木马病毒清除方式
Sumarua的博客
07-11 4132
紫狐(Purple Fox)Rootkit木马病毒,最早在2018年被网络安全人员发现,该恶意软件存在多种蠕虫化传播方式并使用驱动级维权方式,难清除是安全从业人员遇到最大的问题,在这里我们给大家提供一些入侵方式解读及清除方式。 执行方式: 清除方式: 安全模式启动 因为恶意的dll为ring-3级别的,正常情况下相关的dll无法直接删除,需要重启以安全模式才能删除,直接重启,按F8进入安全模式。删除恶意的dll文件 直接搜一下相关的dll文件,其格式为MSxxxxxxapp.dll,其中xxxxxx
H-WORM家族远控木马分析处置
不忘初心,护天下安全!
08-15 2998
首先通过读取注册表项+脚本名,判断当前系统是否已感染,接着将目标文件放入注册表项"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\"和"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\"中实现自启动。H-WORM作者ID为Houdini,使用VBS编写以实现远控蠕虫功能,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月。...
紫狐(Purple Fox)恶意软件传播,蠕虫式的大规模感染服务器
学海无涯苦作舟的博客
03-26 1341
恶意软件不计其数,但只针对Windows设备的恶意软件,就是在2018年被网络安全人员发现的紫狐(Purple Fox)恶意软件,主要是透过网络钓鱼电子邮件和漏洞利用工具包进行攻击,还包括了rootkit,让攻击者将恶意软件隐藏于设备中,难以被察觉,而近期却出现了令人意想不到的模式进行攻击。 网络安全公司Guardicore发现紫狐有新感染方式,那就是新增了蠕虫模组,针对可存取网际网络,又可在内网透过SMB通讯协定互连的电脑,进行帐号、密码的暴力破解,之后将恶意程序植入这些电脑。 而攻击者在近2,000台.
木马专杀软件测试自学,5款免费杀软“紫狐木马查杀测试
weixin_39543835的博客
07-22 1472
本帖最后由 idayong 于 2018-9-21 21:57 编辑昨天看到360推送的紫狐木马http://www.360.cn/n/10386.html 里面提供了样本,这次正好来测一下“带毒环境”各家主流杀软的查杀能力(此前评测大都为引擎检出率的测试)主要选出5款大家常用的杀软进行测试:(均升级到2018/09/21病毒库,使用“快速扫描”模式进行查杀测试)系统环境:Windows7 x64...
[特殊字符] 银狐组织伪装DeepSeek安装包植入木马!你的电脑可能已被入侵!
最新发布
ob6666的博客
03-04 1685
攻击者向开发者发送伪造的DeepSeek更新通知,邮件内附带恶意链接或附件,诱骗用户下载安装。等平台发布“优化版DeepSeek”,暗中植入后门程序,让开发者自行下载中招!,或利用SEO优化,让恶意下载链接名靠前,诱骗用户下载带毒安装包!:DeepSeek是近年来火热的AI工具,大量开发者下载使用。:攻击AI开发者,可进一步入侵企业、研究机构的核心系统。:利用DeepSeek诱骗AI开发者,潜入高价值系统!:你的项目、API密钥、机密文档将被窃取!:黑客能远程操控你的电脑,执行恶意命令!
记录一次紫狐Rootkit应急响应过程
weixin_48421613的博客
08-16 4001
紫狐Rootkit应急响应分享,转载请说明出处
“银狐”团伙再度出击:利用易语言远控木马实施钓鱼攻击
2401_84466225的博客
08-04 1638
自2023年上半年“银狐”工具被披露以来,涌现了多个使用该工具的黑产团伙。这些团伙主要针对国内的金融、教育、医疗、高新技术等企事业单位,集中向管理、财务、销售等从业人员发起攻击,窃取目标资金和隐私信息。该团伙惯用微信/QQ等即时通信工具、钓鱼邮件、钓鱼网站等途径投递远控木马,钓鱼通常围绕财税、发票、函件、软件安装包等不同主题。鉴于使用该去中心化黑产工具的团伙众多,我们将其统称为“银狐”相关团伙。
Windows注册表基础知识
weixin_45817476的博客
07-25 3334
Windows注册表基础知识1、注册表简介注册表主键HKEY_CLASSES_ROOTHKEY_CURRENT_USERHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIG2、注册表危险项[^1]Windows LoadWindows Run特殊的16位可执行文件类型Windows ShellPending File Rename Operations3、优化注册表清理多余的DLL文件安装卸载应用程序的垃圾信息系统安装时产生的无用信息4、总结 1、注册表简介 注册表
恶性木马专杀工具解决顽固病毒木马浏览器首页劫持问题
04-07
恶性木马通常具有更强的隐蔽性和破坏力,例如紫狐、ADSafe、MLXG等,这些病毒能够自我复制和隐藏,使得普通用户很难发现和清除。 描述中提到的“顽固病毒木马问题”是指这类恶意软件一旦侵入系统,可能会扎根很深,...
Linux内核级木马病毒攻防:基础工具介绍
tyler_download的专栏
07-04 1527
欲成其事先利其器。要想完成一项复杂的任务,工具的作用至关重要。要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。 第一个当然是gdb了,在Linux上,它是唯一能用于程序调试的利器。我们后面开发代码或调试分析其他病毒或木马的设计模式和原理时,必须使用gdb作为手术刀,对要研究的病毒和木马进行”剖尸检验“,通过gdb调查木马或病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程。 第二个是objdump,它的
Android木马分析实验,Android木马简介分析
weixin_42500130的博客
05-26 1511
本文介绍基于Android的手机恶意软件,是一个基础性的介绍,给新入门的人提供一个分析和工具指引。要分析的木马是一个2013年的syssecApp.apk,这个木马的分析能对Android恶意软件有个大概了解。基础:1 –Android应用基础Android是google开发基于Linux内核的开源的手机操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机 则提供了一个抽象...
360CAD专杀 v1.0.zip
07-14
360CAD专杀作为一款当前主流CAD病毒的专项清除工具,能帮助您快速解决CAD设计工作中遇到的相关棘手问题。 360CAD专杀功能介绍: 如您的办公电脑感染了CAD病毒后会出现CAD软件运行变得缓慢、不时弹出“党不会亏待你”一类的恶搞对话框、平时可使用正常的cad文件打不开、cad工具栏消失等异常问题,建议尝试使用本产品进行快速处理。 针对相关病毒的文件感染,本品提供了备份删除至回收站两种操作以及扫描位置的指定功能。若您遇到CAD相关的病毒异常现象使用该工具无法处理,欢迎反馈给我们以进行第一时间的处理。
探幽寻秘,一网打尽—多版本银狐木马加密要素揭秘
GCKJ_0824的博客
01-23 1368
使用XOR+加减法加密的样本共发现四种,分别使用四个不同的加密密钥,解密后的上线包数据为计算机名、当前时间等系统信息,数据格式一致,均由0xF字节长度的数据头+实际上传数据构成,数据头包含3字节的特征字符+整体数据长度+实际上传数据长度+固定字符。两种样本的通信载荷数据格式一致,前4字节是数据长度,后面跟10字节密钥数据,密钥数据0x36、0x3d(两个样本中硬编码记录)进行加法运算后得到XOR密钥,后面1字节在服务器发送给客户端的数据中存储着控制指令,最后一部分是XOR加密的数据。
PendingFileRenameOperations键值!
热门推荐
thanklife的专栏
09-30 1万+
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager存放的是当前系统会话的快照,而PendingFileRenameOperations记录的是一个未成功进行的文件更名操作,应用程序如SQL Server在安装时可能会使用这个键值,记录在安装过程中对临时文件的操作,如果在安装进程启动时就发现这个键值存在,它就认为
警惕!微信群有人“投毒”,名为“银狐”
亚信安全官方账号的博客
11-16 4622
亚信安全捕获一起“银狐”木马团伙利用微信群传播病毒的事件,请相关用户保持警惕,并采取防护措施。
‌“银狐”木马病毒来袭,这些应对方法一定要看!从零基础到精通,收藏这篇就够了!
喜欢Python编程的程序员柚柚呀
02-12 1137
银狐”,又名“游蛇”和“谷堕大盗”,是一种专门针对。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2528
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
PendingFileRenameOperations和movefile工具
yiyeqinghuasoon
02-20 1385
先看一下微软官方对PendingFileRenameOperations的解释: Stores the names of files to be renamed when the system restarts. This entry consists of pairs of file names. The file specified in the first item of the pair ...
木马工作原理清除过程详解
"木马详细解说,木马清除过程" 在计算机安全领域中,木马(Trojan)是一种非常危险的恶意程序,它可以潜入计算机系统,窃取用户的敏感信息,或者控制计算机系统,执行恶意操作。因此,了解木马的工作原理和清除方法...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你吃西瓜我吃皮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值