仙女座僵尸网络病毒处置

admin 2025年1月16日23:13:23评论17 views字数 1066阅读3分33秒阅读模式

本文作者:雁过留痕@深信服MSS专家部

一、前言

仙女座僵尸网络也被称为Gamarue,这是一个基于HTTP协议通信的僵尸网络病毒,最早在2011年被发现,目的是窃取凭证,并在受感染的系统上下载和安装额外的恶意软件。

本次感染环境:win7-x64

本次感染的病毒特征,访问恶意域名:amnsreiuojy.ru和morphed.ru

仙女座僵尸网络病毒处置

病毒通过U盘感染,执行流程如下。

仙女座僵尸网络病毒处置

(图片来源于:https://blog.csdn.net/a854596855/article/details/135853690)

二、排查

1、先检索访问的恶意域名,发现是svchost在访问域名。

仙女座僵尸网络病毒处置
仙女座僵尸网络病毒处置

2、排查svchost加载的文件,发现加载:C:UsersadminLocal SettingsTempccqxaufk.com文件。

md5:9E95698D0C629D8E9BB9F17F03F9EE03

仙女座僵尸网络病毒处置

3、文件被开启隐藏属性。

仙女座僵尸网络病毒处置
仙女座僵尸网络病毒处置

4、启动项里面可以看到主机加载了2个异常的启动项,对应路径为:C:UsersadminAppDataLocalTemp

仙女座僵尸网络病毒处置
仙女座僵尸网络病毒处置

5、通过导出注册表键值,可以发现病毒的感染时间为1月7日10:48和10:41。

仙女座僵尸网络病毒处置
仙女座僵尸网络病毒处置

6、根据病毒的感染时间,定位到病毒母体。TrustedInstaller.exe。

MD5:A871E2991A2E41024A55B5FD813D0020

仙女座僵尸网络病毒处置

三、病毒处置

1、先删除对应的2个启动项:

仙女座僵尸网络病毒处置

2、将文件属性去掉隐藏(使用attrib -s -h取消),然后删除,不去掉隐藏可以用everything搜索删除。

仙女座僵尸网络病毒处置
仙女座僵尸网络病毒处置

3、此时ccqxaufk.com还被svchost加载,无法删除,把启动项清理好之后,可以重启机器删除,没有启动项就不会再拉起程序了。

仙女座僵尸网络病毒处置

4、重启后就能直接删除了。

仙女座僵尸网络病毒处置

5、启动项和病毒文件清理完,外联消失。

仙女座僵尸网络病毒处置

四、ioc

C:UsersadminAppDataLocalTempccqxaufk.com:MD5:9E95698D0C629D8E9BB9F17F03F9EE03

C:ProgramDataLocal SettingsTempccvyrnvuv.exe:MD5:9E95698D0C629D8E9BB9F17F03F9EE03

TrustedInstaller.exe:MD5:A871E2991A2E41024A55B5FD813D0020

‍本次处置使用工具获取,关注微信公众号,回复:“仙女座”。

扫一扫即可关注我。

仙女座僵尸网络病毒处置

往期内容推荐:

金眼狗APT后门处置

以点破面-探究勒索病毒常见攻击手法

原文始发于微信公众号(安服仔的救赎):“仙女座”僵尸网络病毒处置

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月16日23:13:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   仙女座僵尸网络病毒处置https://cn-sec.com/archives/3626474.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息