執行後發現一個網路連結經常存在,由procmon檢視該進程為svchost -k krnlsrvc之參數,於機碼中發現此一木馬所在,進行以下步驟:- 複製此木馬,以備留存證據.因為此機器為動態IP上網,顯然它是向遠端連結,連結之IP必然留存在本機上.這一步先作,因卡巴顯然在先前漏了這個木馬,但我停止進程後在檢視該檔案時又報有毒並馬上被刪除,可能是它有方法隱身於卡巴,詳情得等對此木馬進行逆向工程後才能得知.複製時建議更名,在某些觀察下發現,它似乎有辦法記得它被隔離的位址,重開機進入安全模式可能是比較安全的作法
- 以procmon停止該進程,或重開機進入安全模式
- 刪除這個木馬,及帶起這個服務的機碼
另外以procmon觀察此一進程的行為時,發現還一直向C:\WINDOWS\system32\drivers\etc\hosts 這個位置進行讀取,因此進到該目錄把兩個命名不正常的檔砍了.
沒有留言:
張貼留言