Rimozione di un malware sample – AgentTesla

Nel presente articolo viene eseguita una rimozione di un malware Trojan AgentTesla. Il sample analizzato in questo articolo ha il seguente hash:

Hash del malware

È stato eseguito il malware come confermato dal processo maligno catturato mediante Process Hacker 2:

Processo del malware

A questo punto è stato utilizzato Farbar Recovery Scan Tool per esaminare possibili danni e problematiche del sistema derivanti dall’infezione.

Per avviare la scansione dei danni causati dal malware è necessario eseguire FRST come amministratore, aspettare che il backup del registro da parte del tool e la verifica di eventuali aggiornamenti vengano completati. Dopodichè è necessario cliccare sul bottone “Scan” per avviare la scansione.

FRST Scan

FRST scansiona le aree critiche del sistema operativo (compresi i file più recenti degli ultimi 90 giorni) e crea due file di testo, denominati rispettivamente “FRST.txt” e “Addition.txt”; dopodichè sarà possibile individuare le tracce lasciate dal malware ed eliminarle. Di seguito le tracce individuate derivanti dall’infezione del Trojan AgentTesla. Le tracce presenti all’interno del sistema sono fondamentalmente queste: l’artefatto principale, che possiamo considerare il dropper, il file maligno .exe droppato nella cartella AppData\Roaming e uno scheduled task che fa riferimento al dropped malware. Lo scheduled task fa pensare a una persistenza messa in atto da parte del malware sul PC della vittima.

Prima traccia dell’infezione
Seconda traccia dell’infezione
Terza traccia dell’infezione

A questo punto possiamo riparare i danni causati dall’infezione malware. Per prima cosa è necessario creare un file di testo denominato fixlist.txt utilizzando il Blocco Note di Windows e situato nella stessa cartella dove si trova FRST.exe

All’interno di fixlist.txt è necessario specificare tutte le aree infette del sistema per procedere all’operazione di fixing. Prima di inserire le aree da riparare però consiglio fortemente di creare un punto di ripristino utilizzando il comando “CreateRestorePoint:”.

fixlist file

Ora possiamo procedere con l’operazione di riparazione. Riapriamo FRST.exe come amministratore e clicchiamo su Fix.

FRST Fix

Il PC potrebbe richiedere il riavvio dopo la fase di riparazione dell’infezione.

La guida ufficiale di Farbar Recovery Scan Tool si può trovare a questo indirizzo: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

Hits: 179

Facebooktwitterredditlinkedintumblrmail

L’articolo Rimozione di un malware sample – AgentTesla proviene da HackTips.

HackTips

STAI CERCANDO PRODOTTI PER L’HACKING, LA SICUREZZA INFORMATICA E IL PENETRATION TESTING? HAI BISOGNO DI BONIFICARE IL TUO SMARTPHONE, IL TUO PC O IL TUO SITO DA VIRUS E MALWARE? DEVI RINTRACCIARE UNA PERSONA O RECUPERARE DELLE INFORMAZIONI URGENTI? DEVI RIPRENDERE POSSESSO DI UN ACCOUNT, UNA MAIL O DI UNA PASSWORD CHE TI HANNO SOTTRATTO? VUOI ACQUISTARE DEVICE GIÀ CONFIGURATI PER SPERIMENTARE TUTTE LE TECNICHE DI HACKING IN MODO FACILE E VELOCE? HAI ESIGENZE PARTICOLARI IN AMBITO SOFTWARE O HARDWARE?POSSIAMO AIUTARTI  ! CLICCA SUBITO SUL BOTTONE ROSSO QUI SOTTO OPPURE CONTATTACI TRAMITE WHATSAPP O COMPILANDO E INVIANDO IL MODULO SOTTOSTANTE.

chevron_left
chevron_right

Disclaimer : Tutte le tecniche, i prodotti e i servizi presenti o descritti su questo sito si intendono a scopo puramente informativo, di studio o di aggiornamento professionale e per testare esclusivamente la sicurezza e la funzionalità della propria rete informatica o degli account di cui si è legittimi proprietari o per i quali si dispone l'autorizzazione ad attività di hardening o di penetration testing da parte dei legittimi titolari in accordo alle vigenti normative sull'accesso a sistemi informatici e telematici (cfr. art. 615 ter c.p. e successive modifiche). HackerSecret declina ogni responsabilità per ogni ulteriore utilizzo al di fuori di tale ambito che è di esclusiva resposabilità individuale ai sensi delle vigenti leggi e per eventuali danni o problematiche causate dall'utilizzo delle tecniche, dei prodotti o dei servizi presenti o descritti nel sito ai propri sistemi o apparati informatici o per la perdita di dati sensibili e non conseguente all'utilizzo di tali tecniche, prodotti o servizi.