记一次电脑中木马病毒事件处理过程

485次阅读
没有评论

最近一台备用的笔记本电脑非常卡,动不动就自动重启资源管理器,观察 CPU 和内存占用情况,使用率不定期会突然飙升至 100%。已排除设备硬件、系统和驱动的问题,也做了一些常规的优化,按理说不应该,怀疑是电脑中毒了。本文简要记录一下处理过程,仅供参考。

1、怀疑电脑中毒后,将笔记本电脑立即移出内部网络。在不确定是否已中木马/病毒,以及木马/病毒是否会通过公共服务端口(比如smb)进行内网扩散前,紧急将可疑设备及时从内网移除是避免造成连锁性恶性反应的必要措施。

2、逐一核对电脑当前运行的进程,确定对应身份。在排查过程中,发现一个可疑进程 gAkTkz.exe,原路径为  C:\Users\leicong\AppData\Local\Temp。一般程序即使默认安装也是在 Program 或 Program Files 目录下,不会出现在临时文件夹,高度可疑。

记一次电脑中木马病毒事件处理过程P1.可以程序在 Temp 临时文件夹内

3、提取该可疑文件到测试机上,在线进行初步扫描分析。单独使用 一张4G物联网卡+USB卡套 组网给测试机用,不能和公司办公内网或访客网络混合,避免木马病毒在局域网内扩散。经过聚合网站多杀毒引擎分析,该可疑文件病毒检出率爆表…。

记一次电脑中木马病毒事件处理过程P2.可疑文件 gAkTkz.exe 被多个杀毒引擎检出带毒

仔细观察,发现一个有趣的现象,尽管在电脑上该文件的名称为 gAkTkz.exe,但是在线杀毒网站上显示的实际名称为 LWKQSp.exe,它们的校验码是一致的,很显然电脑上的可疑文件只是用一串随机字符串改了下名字。

4、在测试机上安装专业防火墙软件,观察可疑文件网络连接情况。防火墙切换到中高防护等级,所有进出站网络连接都需要经过人工确认。可以很明显的看到 gAkTkz.exe 进程在频繁尝试与 IP 63.251.106.25 建立连接。

记一次电脑中木马病毒事件处理过程P3.gAkTkz.exe 频繁尝试与 IP 63.251.106.26 建立连接

检索与公网IP 63.251.106.26(归属地:美国 德克萨斯州 达拉斯 运营商:SingleHop LLC) 有关的信息,发现这个 IP 高度危险,有过恶意攻击的历史记录,关联文章:CSDN-应急响应案例(文章作者:岁月冲淡々,发布时间:2023-05-23)。基本可以确认 gAkTkz.exe 是恶意程序,这台笔记本电脑已中招。

5、禁止gAkTkz.exe出站连接并停用该进程,在随后的观察中,发现还会随机启用 gBmeWA.exe、IlLpxQ.exe、iPQPsbCB.exe、KhKXQibd.exe、LVoUIX.exe、mtAzto.exe、OkQiZn.exe、vSqTUR.exe、EtEvA.exe、BnYtVL.exe、CGCn.exe等不同名称的恶意进程,它们请求通信的目标 IP 都是 63.251.106.26。另外,将这些恶意文件通过在线杀毒软件扫描,发现都是同一个文件 LWKQSp.exe 的复制体,只是名称用一串随机字符串重命名罢了。

6、对电脑所有文件进行甄别排查太过于费时费力,且无法保证 100% 安全性,决定重做系统一切归零。万幸这台笔记本电脑只是平时用来测试或者应急使用,上面没有特别重要的数据和工作相关的程序,影响不大。

分析总结:

1、../Local/Temp文件夹中的文件一般是安装程序时产生的,这次中招的 LWKQSp.exe 恶意程序很有可能是平时安装测试破解软件留下,所以对于非信任来源的破解程序千万不要直接运行,不要嫌拖到虚拟机麻烦;

2、对于电子设备的异常情况要保持警惕,特别是在没有物理磕碰等情况下出现的异常;

3、养成用电脑好习惯,及时清理各种 Temp 缓存文件夹下的垃圾文件;

4、63.251.106.26 是个高度危险的海外公网 IP,最近较为活跃,在日常流量监控时应及时关注或直接加入黑名单处理。

正文完
 1
itylq
版权声明:本站原创文章,由 itylq 2023-08-07发表,共计1538字。
转载说明:本站文章遵循CC-4.0国际许可协议,转载请注明出处(格式如“来源:IT摇篮曲www.itylq.com")。
评论(没有评论)
验证码