我被攻击了 恶意网站 木马
通过抓包发现访问了恶意域名,但通过杀软查杀不出来
webaloud 2021-01-20 17:40:56 2073人浏览

du.testjj.com.png

域名(1) 威胁情报数目 子域名 历史指向ip 相关样本 微步标签 < 1/1 >
匿名用户 2021-02-02 10:03:32 回复
我上次查杀过,深信服有一款免费的僵尸网络扫描工具,只要输入域名,就能查到正在尝试通讯的进程。然后导出扫描日志,会有详细的进程信息,根据进程的PID码找到并结束进程和可疑的软件路径。下载地址:https://edr.sangfor.com.cn/#/introduction/bot_net
byayaf 2021-02-02 09:20:47 回复
在dns将这个恶意域名指向修改掉是不是就没有什么危害了
webaloud 2021-02-02 15:49:44 回复
回复@byayaf: 通过写host确实可以将该域名解析到无意义的地址上,从而避免危害,但治标不治本,病毒还是存在。
kay666 2021-01-25 18:30:55 回复
6666
q980593179 2021-01-22 10:31:11 回复
我也遇到过这个域名,360 火绒 腾讯 全部查杀不出来,但是使用深信服edr可以查杀出,有条件可以用
wwbrave 2021-01-21 13:32:06 回复
我也遇到过,火绒有一个专杀工具,很好用,可以去搜一下,火绒官方也出过分析报告。
K1ng 2021-01-20 19:48:52 回复
检出该IOC,大概率是受害主机使用了暴风激活工具导致,该工具存在后门,会植入一个rootkit,以服务形式驻留,很难查杀
lkasa 2021-01-20 20:25:36 回复
回复@K1ng: 可以使用火绒找到进程然后K掉以后 找到路径,安全模式进入删除
匿名用户 2021-01-20 18:36:21 回复
我觉得你可以看下与这个恶意域名有通信的样本,这个在域名查询的结果页就有,看下样本在沙箱中检测到的行为,还有就是沙箱里面的处置建议,看对你的排查有帮助没。