前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >记一次Emotet木马处理案例

记一次Emotet木马处理案例

作者头像
Bypass
发布2022-12-01 11:09:03
5140
发布2022-12-01 11:09:03
举报
文章被收录于专栏:Bypass

0x00、前言

用户的安全意识相对薄弱,面对来历不明的链接和附件,容易被诱导从而遭受木马的入侵。在日常使用过程中,有时电脑中病毒后会遇到木马查杀不掉的情况,应该是如何处理呢?下面分享一个Emotet木马处理的案例,希望对你有所帮助。

0x01、案例说明

从流量侧监控到多个用户终端频繁发送邮件,涉及大量收件人与发件人并带有附件,疑似感染木马,用户手动杀软查杀无果。

0x02、原因分析

既然杀软无法处理,那就只能手工来分析排查了,依靠系统运维的经验,首先需要对当前的异常现象进行分析,重点关注进程、启动项、网络等的异常情况。

这里,我们使用火绒自带的安全分析工具--火绒剑,进行手工分析排查。

(1)进程分析

使用用户账号登录,对用户的所有进程进行一项项排查,查看可疑的进程及其子进程。通过排查我们可以发现,regsvr32.exe进程中存在异常加载的组件,无签名、无描述信息,临时文件路径。

(2)启动项分析

用户的登录启动项中,在这个列表中,我们看到存在两项异常的注册表登录启动项,而且文件路径还跟进程分析发现异常文件可以对应上,那么基本可以确认这个文件是有问题的。

(3)文件分析

将用户终端上获取到的恶意文件上传到微步云沙箱,通过威胁情报、静态和动态行为分析,发现恶意程序存在的异常。

样本一:

样本二:

在另一个终端获取的样本,就比较有意思了,发现反检测、反逆向、信息搜集等行为。

(4)处置建议

通过以上大致的分析,我们可以得到处置方案,使用用户账号进入用户登录环境,删除用户注册表下的异常启动项,然后删除用户临时文件路径下的异常文件,最后重启电脑就完事了。

0x03、防范措施

尽量避免打开来历不明的邮件、链接和附件,特别不要随意开启文档文件的宏功能。另外,对于个人用户来说,掌握一些安全工具和入侵排查的技巧,可以让你的电脑变得更安全。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-06-28,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Bypass 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
访问管理
访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。您可以使用CAM创建子用户、用户组和角色,并通过策略控制其访问范围。CAM支持用户和角色SSO能力,您可以根据具体管理场景针对性设置企业内用户和腾讯云的互通能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档