2018年“紫狐”恶意软件（Purple Fox）首次出现，通过与游戏外挂或者第三方安装软件捆绑来进行传播，电脑一经感染就会自行下载垃圾软件。此后“紫狐”不断升级迭代，近日有安全研究员发文称紫狐正在利用一种新的感染技术对大量Windows IIS7.5 服务器进行攻击，且传播速度极快。

据悉，紫狐首先暴力破解SMB（服务器信息块）密码，从而获取目标服务器访问权限，随后从其Windows Web 服务器网络中，执行蠕虫有效载荷。

一旦代码开始执行，将会下载并安装一个恶意MSI包。安装包启动后，安装程序将提取有效载荷并将其解密，其中包含3个文件：64位DLL有效负载(Winupdate64)、32位DLL有效负载(Winupdate32)、rootkit加密文件。

值得注意的是在安装过程中，“紫狐”会通过执行多个netsh命令来修改计算机的防火墙端口。完成这一操作后，它会生成一份 Internet 地址列表，扫描出同样弱密码的设备并通过蠕虫技术继续感染，构筑出一个僵尸网络。

研究人员称该软件关闭防火墙端口的原因可能是为了防止二次感染或者是避免其他入侵者对该计算机发起攻击。

紫狐重新启动机器之前部署的最后一步是加载隐藏在MSI包中rootkit，用来隐藏病毒感染的进程和入侵的痕迹，让安全软件和系统管理员都很难察觉。

加载完成后，安装程序将重启计算机，随后恶意软件开始执行，在445端口上扫描其生成的IP范围，从而进行进一步感染。

据统计，过去的一年内，“紫狐”至少感染了超过90000电脑用户，受感染人数增长非常快。

建议大家使用高强度密码，并定期对服务器进行加固。此外若发现存在安全漏洞，及时修补。

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com