記一次Emotet木馬處理案例

0x00、前言

用戶的安全意識相對薄弱，面對來歷不明的鏈接和附件，容易被誘導從而遭受木馬的入侵。在日常使用過程中，有時電腦中病毒后會遇到木馬查殺不掉的情況，應該是如何處理呢？下面分享一個Emotet木馬處理的案例，希望對你有所幫助。

0x01、案例說明

從流量側(cè)監(jiān)控到多個用戶終端頻繁發(fā)送郵件，涉及大量收件人與發(fā)件人并帶有附件，疑似感染木馬，用戶手動殺軟查殺無果。

0x02、原因分析

既然殺軟無法處理，那就只能手工來分析排查了，依靠系統(tǒng)運維的經(jīng)驗，首先需要對當前的異?，F(xiàn)象進行分析，重點關注進程、啟動項、網(wǎng)絡等的異常情況。

這里，我們使用火絨自帶的安全分析工具--火絨劍，進行手工分析排查。

（1）進程分析

使用用戶賬號登錄，對用戶的所有進程進行一項項排查，查看可疑的進程及其子進程。通過排查我們可以發(fā)現(xiàn)，regsvr32.exe進程中存在異常加載的組件，無簽名、無描述信息，臨時文件路徑。

（2）啟動項分析

用戶的登錄啟動項中，在這個列表中，我們看到存在兩項異常的注冊表登錄啟動項，而且文件路徑還跟進程分析發(fā)現(xiàn)異常文件可以對應上，那么基本可以確認這個文件是有問題的。

（3）文件分析

將用戶終端上獲取到的惡意文件上傳到微步云沙箱，通過威脅情報、靜態(tài)和動態(tài)行為分析，發(fā)現(xiàn)惡意程序存在的異常。

樣本一：

樣本二：

在另一個終端獲取的樣本，就比較有意思了，發(fā)現(xiàn)反檢測、反逆向、信息搜集等行為。

（4）處置建議

通過以上大致的分析，我們可以得到處置方案，使用用戶賬號進入用戶登錄環(huán)境，刪除用戶注冊表下的異常啟動項，然后刪除用戶臨時文件路徑下的異常文件，最后重啟電腦就完事了。

0x03、防范措施

盡量避免打開來歷不明的郵件、鏈接和附件，特別不要隨意開啟文檔文件的宏功能。另外，對于個人用戶來說，掌握一些安全工具和入侵排查的技巧，可以讓你的電腦變得更安全。