|
|
“紫狐”病毒最新变种,该变种通过SMB和MSSQL弱口令爆破攻击传播,同时还会利用Weblogic和ThinkPHP等服务器组件的远程代码执行漏洞进行攻击传播,使该病毒家族的传播能力再次增强,该病毒家族最终通过控制肉鸡电脑刷量、推广安装用户不需要的软件来获利。能够在感染目标计算机后下载其他恶意软件,如加密货币挖矿恶意软件。
参考来源:
https://www.axtx.net/archives/1065.html
https://netsecurity.51cto.com/article/630039.html
https://s.tencent.com/research/report/894.html
一、情况概述
跳板机访问异常缓慢,CPU使用率持续50%,一直向外请求恶意数据包。
二、初步分析
(一)查看CPU使用率占用高的进程
可以看到进程“svchost.exe”一直处于50%的CPU占用率,内存使用率已经到2GB。
(二)火绒拦截日志
从 2022-02-10 00:13:20 开始
可以看到 svchost.exe 进程一直对外尝试攻击,访问局域网内所有电脑的445端口,索性的是被火绒拦截。
svchost.exe尝试访问【1.248.75.8/test.png】风险分类:木马盗号,也被火绒拦截。
(三)Process Explorer 查看进程的TCP连接
27.102.132.136 归属地为:韩国首尔,通过443(https)端口连接
查看进程Threads,启动3个svchost.exe 进程,每个进程占用16%CPU。
三、病毒清除
分别使用360安全卫士,360杀毒软件,火绒,进行快速查杀,均未发现病毒。
使用火绒恶行木马专杀,查杀出3项威胁,已经清除。
使用火绒全盘查杀,发现木马病毒,进行清除。
四、查杀成果
CPU使用率为 0%,内存使用率也降低至17%。
五、整改建议
病毒清除及加固
目前已对跳板机上发现的所有恶意文件清理。取消文件夹共享,windows防火墙开启并设置了对445,139端口的阻止策略。
对所有交换机端口隔离,禁止所有电脑互相访问。如果有访问要求,交换机增加对445,139端口的阻止策略。
所有电脑安装火绒,并且添加规则对445,139端口的阻止策略。进行恶行木马专杀,全盘杀毒。并且启用WINDOWS防火墙。
六、火绒阻止其他电脑访问本地137,138,139,445端口
启用IP协议控制
添加“本地NETBIOS服务”规则
|
|
收藏