1、支持修复被钓鱼后电脑被远控、鼠标乱动、杀毒软件被卸载删除等问题
更新版本号:16.11.55275.301
具体现象:接收打开群聊里的钓鱼附件或者从非官方下载站安装软件后,电脑被远控、鼠标乱动、杀毒软件被卸载删除
通过群传送的文件为伪装的病毒木马文件,经分析为银狐病毒,详细分析可参考腾讯威胁情报
感染后的设备会被远程控制,黑客可以通过远程操控等方式获取电脑信息,导致出现鼠标乱动等现象。另外近期出现对抗杀毒软件的趋势,会下发驱动卸载删除杀毒软件。
银狐木马运行后会通过创建计划任务实现持久化,在公共目录下创建随机名的文件夹及攻击载荷。
a、持久化计划任务清理:清理修复银狐病毒创建的计划任务
b、攻击载荷查杀:查杀银狐病毒通过白加黑、利用Lua更新程序下载运行payload等方式攻击载荷
THE END