将安全君呀设为"星标⭐️"

第一时间收到文章更新

声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。

文章声明：本篇文章内容部分选取网络，如有侵权，请告知删除。

一、分析

首先通过Process Explorer 软件发现Spoler.exe 进程没有标明Description，

且指向C:WINDOWSsystem32Spoler.exe。

而且在Autoruns上发现Print Spoler 进程没有指明Publisher，而且与指定的运行文件信息不符：

查看Spoler.exe信息：

查看Wsyscheck软件，没有发现镜像劫持：

查看TCPView软件发现，Spoler.exe进程隔一段时间就会自动运行：

可以确定该木马可以自动运行。

Spoler.exe进程在注册表中设定值为：

HKLMSYSTEMControlSet001ServicesPrint SpolerMarkTime

二、手动清理

通过上面分析中的结果可知，Spoler.exe进程在注册表中设定值为：

HKLMSYSTEMControlSet001ServicesPrint SpolerMarkTime

该木马是通过修改注册表设定值后，通过注册表定时启动自身进程，所以我们可以通过删除该注册表设定值，去除它的自启动功能：

再结束该进程，它不再自启动：

删除Spoler.exe和Spoler_raw.anl、Spoler_text.anl文件：

是

重启，发现Spoler.exe进程不再启动：

至此该木马完成清理。

原文始发于微信公众号（安全君呀）：应急响应 | 未知木马感染手动清理