某“银狐”样本清除思路
以下内容包含某“银狐"样本运行现象及清除过程。
*样本来源:https://bbs.kafan.cn/thread-2276868-1-1.html
测试环境:虚拟机,win10 19045,断网
基础现象:
1,会结束一些工具的进程(例如 processhacker,autoruns等)
2,会多两个进程runtime.exe和winnt.exe
3, 去runtime.exe所在文件夹下,发现并没有对应的文件;给该目录去掉系统和隐藏属性(attrib -s -h),就可以看到其他文件
直接ctrl+a+ctrl+d 删除这些文件,本能删除的尝试重命名;然后重启
curl.dll和tProtect.dll对应的是驱动服务,需要删除服务项。
Update.wnc对应的是计划任务运行的文件,计划任务项目名称为 kafanbbs(可以在系统日志中找到相关记录),对应的xml文件时EFCF.tmp在临时文件夹
创建计划任务的系统日志记录
可以看出,Autoruns并没有列举出”银狐“注册的特殊计划任务,差评。
EFCF.tmp文件如下所示:
所以把上面这些文件及创建的表项删完,基本上就清除干净了。不过这只是在断网的情况下,实际环境中应该还有其他痕迹。