以下是针对 Windows 系统中 PcShare 远控木马的应急响应步骤:
应急背景:用户曲某在非官方网站下载软件后,发现安装时无响应一段时间后才开始安装,怀疑电脑中了病毒或木马,于是找竹某排查。
木马查杀:
- 查看异常连接:使用命令
netstat -ano|findstr "established",发现存在异常连接,端口号为 4024。 - 查看进程:使用
pchunter工具查看进程模块,发现有两个dll调用模块没有厂商签名验证。使用sigcheck工具再次校验,确认这两个dll文件没有签名。将其拷贝到沙箱分析,发现特征variant.pcclient,怀疑是pcshare远控木马。 - 查看服务:使用命令
tasklist /svc|findstr "4024",发现是微信的服务名且关联svchost.exe,但所有网页关闭且未开微信程序,此连接较为可疑。用pchunter定位到该服务,发现同样没有签名校验。
定位到注册表:通过异常服务定位到注册表数据,注册表中记录了后门dll的文件名路径,对应的注册表项为:hkey_local_machine\system\currentcontrolset\services\wechat。
开始查杀:
- 尝试删除进程,删除前查看能否删掉后门
dll文件,通过pchunter定位到文件位置或直接在pchunter中删除对应的后门dll模块,然后使用命令taskkill /f /pid 4024停掉进程。若无法删除可尝试使用pchunter进行删除。 - 彻底删除服务(包括注册表),手动删除时需注意注册表中多个地方,展开查看是否有
service相关的目录项,排查是否存在与wechat和后门dll文件相关的注册表并删除干净。也可使用processhacker工具删除服务,它能将注册表所有相关的都删干净,不建议使用pchunter和autoruns,可能删不干净。
入侵排查:
- 账户排查:主要排查克隆账号(注册表)、隐藏账户(注册表)、异常用户(
net user/计算机管理账户)、用户属组关系(比如普通用户属组变成管理员组)、查看账户是否允许远程登录(3389 端口)等,此例中账号没问题。 - 开机自启:可通过系统目录、注册表查看开机自启,也可直接使用
autoruns排查,本例中一切正常。 - 服务:通过
pchunter查看之前的服务是否还在,着重排查没有文件厂商签名校验的,本例中一切正常。 - 计划任务:在
pchunter中查看,着重看没有签名校验的,本例中未发现异常。 - 网络情况:使用命令
netstat -ano查看。 - 进程排查:使用
pchunter等工具辅助查看,主要排查svchost对应的进程模块是否存在wechat或者没有厂商签名校验的,本例中没有发现异常。查看pid对应程序以及对应的服务名可使用命令tasklist /svc。
重启再排查一遍:按照查杀过程再走一遍,查看对外连接netstat、异常进程是否又再起来、svchost.exe中是否还有未签名校验的模块(留意wechat字眼模块)、查看服务是否存在wechat字眼等。此例中一切正常,表明处理成功。
为了避免感染此类木马,建议不要从非官方网站下载软件,尽量从官方渠道获取软件和应用程序。同时,保持操作系统和安全软件的更新,安装可靠的杀毒软件和防火墙,以增强系统的安全性。
此外,如果你不具备处理此类问题的技术能力,建议寻求专业的安全机构或技术人员的帮助,以确保系统的安全和稳定。同时,定期对重要数据进行备份,以防万一遭受恶意软件攻击导致数据丢失或损坏。
