银狐叒进化,溯源不了,清理不掉!一线应急响应工程师教你如何手工处理
下班时间看到微步发布了一篇公众号文章《银狐叒进化,溯源不了,清理不掉!》看完这个文章后,发现,咦?这个样本,一月初的时候不是处理过一个一样的案例。当时还处理的很头疼,最后根据主机现象,分析出主机落地的文件以及恶意行为,处理掉这个病毒程序。那么阅读微步发布的文章后,也更深刻了解了该病毒整体的运行机制。
同时月初的时候,也发现在技术交流群中,也有小伙伴中过银狐,也讨论帮他解决过。
当时未保留样本,但是很幸运,在卡饭论坛发现有大佬早在12月的时候就发现该样本,并上传至论坛。论坛地址:https://bbs.kafan.cn/thread-2274786-1-1.html。那么根据作者处置的记录以及群里的小伙伴反馈,都是在十二月的时候下载远程程序时,误访问钓鱼站点,导致主机中毒。
现象分析
这里在虚拟机中运行该样本,并查看相关行为信息。
这里可以看到恶意的样本是一个msi的程序。
当我们运行该恶意样本后,使用systeminformer查看和安装包相关的行为,检索后,发现恶意程序运行后,会通过msiexec.exe来执行msi安装程序