记一次Emotet木马处理案例

0x00、前言

用户的安全意识相对薄弱，面对来历不明的链接和附件，容易被诱导从而遭受木马的入侵。在日常使用过程中，有时电脑中病毒后会遇到木马查杀不掉的情况，应该是如何处理呢？下面分享一个Emotet木马处理的案例，希望对你有所帮助。

0x01、案例说明

从流量侧监控到多个用户终端频繁发送邮件，涉及大量收件人与发件人并带有附件，疑似感染木马，用户手动杀软查杀无果。

0x02、原因分析

既然杀软无法处理，那就只能手工来分析排查了，依靠系统运维的经验，首先需要当前的异常现象进行分析，重点关注进程、启动项、网络等的异常情况。

这里，我们使用火绒自带的安全分析工具--火绒剑，进行手工分析排查。

（1）进程分析

使用用户账号登录，对用户的所有进程进行一项项排查，查看可疑的进程及其子进程。通过排查我们可以发现，regsvr32.exe进程中存在异常加载的组件，无签名、无描述信息，临时文件路径。

（2）启动项分析

用户的登录启动项中，在这个列表中，我们看到存在两项异常的注册表登录启动项，而且文件路径还跟进程分析发现异常文件可以对应上，那么基本可以确认这个文件是有问题的。

（3）文件分析

将用户终端上获取到的恶意文件上传到微步云沙箱，通过威胁情报、静态和动态行为分析，发现恶意程序存在的异常。

样本一：

 

 

在另一个终端获取的样本，就比较有意思了，发现反检测、反逆向、信息搜集等行为。

 

（4）处置建议

通过以上大致的分析，我们可以得到处置方案，使用用户账号进入用户登录环境，删除用户注册表下的异常启动项，然后删除用户临时文件路径下的异常文件，最后重启电脑就完事了。

0x03、防范措施

尽量避免打开来历不明的邮件、链接和附件，特别不要随意开启文档文件的宏功能。

另外，对于个人用户来说，掌握一些安全工具和入侵排查的技巧，可以让你的电脑变得更安全。