本文作者:雁过留痕@深信服MSS专家部
一、前言
仙女座僵尸网络也被称为Gamarue,这是一个基于HTTP协议通信的僵尸网络病毒,最早在2011年被发现,目的是窃取凭证,并在受感染的系统上下载和安装额外的恶意软件。
本次感染环境:win7-x64
本次感染的病毒特征,访问恶意域名:amnsreiuojy.ru和morphed.ru
病毒通过U盘感染,执行流程如下。
(图片来源于:https://blog.csdn.net/a854596855/article/details/135853690)
二、排查
1、先检索访问的恶意域名,发现是svchost在访问域名。
2、排查svchost加载的文件,发现加载:C:UsersadminLocal SettingsTempccqxaufk.com文件。
md5:9E95698D0C629D8E9BB9F17F03F9EE03
3、文件被开启隐藏属性。
4、启动项里面可以看到主机加载了2个异常的启动项,对应路径为:C:UsersadminAppDataLocalTemp
5、通过导出注册表键值,可以发现病毒的感染时间为1月7日10:48和10:41。
6、根据病毒的感染时间,定位到病毒母体。TrustedInstaller.exe。
MD5:A871E2991A2E41024A55B5FD813D0020
三、病毒处置
1、先删除对应的2个启动项:
2、将文件属性去掉隐藏(使用attrib -s -h取消),然后删除,不去掉隐藏可以用everything搜索删除。
3、此时ccqxaufk.com还被svchost加载,无法删除,把启动项清理好之后,可以重启机器删除,没有启动项就不会再拉起程序了。
4、重启后就能直接删除了。
5、启动项和病毒文件清理完,外联消失。
四、ioc
C:UsersadminAppDataLocalTempccqxaufk.com:MD5:9E95698D0C629D8E9BB9F17F03F9EE03
C:ProgramDataLocal SettingsTempccvyrnvuv.exe:MD5:9E95698D0C629D8E9BB9F17F03F9EE03
TrustedInstaller.exe:MD5:A871E2991A2E41024A55B5FD813D0020
本次处置使用工具获取,关注微信公众号,回复:“仙女座”。
扫一扫即可关注我。
往期内容推荐:
原文始发于微信公众号(安服仔的救赎):“仙女座”僵尸网络病毒处置
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论