将安全君呀设为"星标⭐️"
第一时间收到文章更新
声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。
文章声明:本篇文章内容部分选取网络,如有侵权,请告知删除。
一、未知木马感染分析手动清理方法
(一)分析
首先通过Process Explorer软件发现Spoler.exe 进程没有标明Description,指向C:WINDOWSsystem32Spoler.exe。
而且在Autoruns上发现Print Spoler 进程没有指明Publisher,而且与指定的运行文件信息不符:
查看Spoler.exe信息:
查看Wsyscheck软件,没有发现镜像劫持:
查看TCPView软件发现,Spoler.exe进程隔一段时间就会自动运行:
可以确定该木马可以自动运行。
Spoler.exe进程在注册表中设定值为HKLMSYSTEMControlSet001ServicesPrint SpolerMarkTime:
(二)手动清理
通过上面分析中的结果可知,Spoler.exe进程在注册表中设定值为HKLMSYSTEMControlSet001ServicesPrint SpolerMarkTime:
该木马是通过修改注册表设定值后,通过注册表定时启动自身进程,所有我们可以通过删除该注册表设定值,去除它的自启动功能:
再结束该进程,不再自启动:
删除Spoler.exe和Spoler_raw.anl、Spoler_text.anl文件:
是
重启,发现Spoler.exe进程不再启动:
至此完成清理。
二、灰鸽子木马清理手工清除方法和步骤
首先用Winsys.exe查看木马详细信息:
发现是普通的远程控制文件,对注册表进行修改:
通过TCPView查看到svch0st.exe运行的进程情况:
通过Process Explorer查看到,svch0st.exe正在运行:
通过Autoruns查看到,没有发现镜像劫持文件:
通过Process Explorer软件结束该进程:
查看灰鸽子:
自动下线,重启系统后木马没有启动,至此木马清除完毕。
原文始发于微信公众号(安全君呀):蓝队应急篇 | 多情况木马感染清理
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论