Rimozione di un malware sample – AgentTesla – HackerSecret.it – Il Sito Italiano Più Autorevole sul Mondo dell'Hacking, del Penetration Testing e della CyberSecurity

Nel presente articolo viene eseguita una rimozione di un malware Trojan AgentTesla. Il sample analizzato in questo articolo ha il seguente hash:

È stato eseguito il malware come confermato dal processo maligno catturato mediante Process Hacker 2:

A questo punto è stato utilizzato Farbar Recovery Scan Tool per esaminare possibili danni e problematiche del sistema derivanti dall’infezione.

Per avviare la scansione dei danni causati dal malware è necessario eseguire FRST come amministratore, aspettare che il backup del registro da parte del tool e la verifica di eventuali aggiornamenti vengano completati. Dopodichè è necessario cliccare sul bottone “Scan” per avviare la scansione.

FRST scansiona le aree critiche del sistema operativo (compresi i file più recenti degli ultimi 90 giorni) e crea due file di testo, denominati rispettivamente “FRST.txt” e “Addition.txt”; dopodichè sarà possibile individuare le tracce lasciate dal malware ed eliminarle. Di seguito le tracce individuate derivanti dall’infezione del Trojan AgentTesla. Le tracce presenti all’interno del sistema sono fondamentalmente queste: l’artefatto principale, che possiamo considerare il dropper, il file maligno .exe droppato nella cartella AppData\Roaming e uno scheduled task che fa riferimento al dropped malware. Lo scheduled task fa pensare a una persistenza messa in atto da parte del malware sul PC della vittima.

A questo punto possiamo riparare i danni causati dall’infezione malware. Per prima cosa è necessario creare un file di testo denominato fixlist.txt utilizzando il Blocco Note di Windows e situato nella stessa cartella dove si trova FRST.exe

All’interno di fixlist.txt è necessario specificare tutte le aree infette del sistema per procedere all’operazione di fixing. Prima di inserire le aree da riparare però consiglio fortemente di creare un punto di ripristino utilizzando il comando “CreateRestorePoint:”.

Ora possiamo procedere con l’operazione di riparazione. Riapriamo FRST.exe come amministratore e clicchiamo su Fix.

Il PC potrebbe richiedere il riavvio dopo la fase di riparazione dell’infezione.

La guida ufficiale di Farbar Recovery Scan Tool si può trovare a questo indirizzo: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

L’articolo Rimozione di un malware sample – AgentTesla proviene da HackTips.

HackTips

STAI CERCANDO PRODOTTI PER L’HACKING, LA SICUREZZA INFORMATICA E IL PENETRATION TESTING? HAI BISOGNO DI BONIFICARE IL TUO SMARTPHONE, IL TUO PC O IL TUO SITO DA VIRUS E MALWARE? DEVI RINTRACCIARE UNA PERSONA O RECUPERARE DELLE INFORMAZIONI URGENTI? DEVI RIPRENDERE POSSESSO DI UN ACCOUNT, UNA MAIL O DI UNA PASSWORD CHE TI HANNO SOTTRATTO? VUOI ACQUISTARE DEVICE GIÀ CONFIGURATI PER SPERIMENTARE TUTTE LE TECNICHE DI HACKING IN MODO FACILE E VELOCE? HAI ESIGENZE PARTICOLARI IN AMBITO SOFTWARE O HARDWARE?POSSIAMO AIUTARTI ! CLICCA SUBITO SUL BOTTONE ROSSO QUI SOTTO OPPURE CONTATTACI TRAMITE WHATSAPP O COMPILANDO E INVIANDO IL MODULO SOTTOSTANTE.