HackerSecret.it – Il Sito Italiano Più Autorevole sul Mondo dell'Hacking, del Penetration Testing e della CyberSecurity

Rimozione di un malware sample – AgentTesla

Nel presente articolo viene eseguita una rimozione di un malware Trojan AgentTesla. Il sample analizzato in questo articolo ha il seguente hash:

Hash del malware

È stato eseguito il malware come confermato dal processo maligno catturato mediante Process Hacker 2:

Processo del malware

A questo punto è stato utilizzato Farbar Recovery Scan Tool per esaminare possibili danni e problematiche del sistema derivanti dall’infezione.

Per avviare la scansione dei danni causati dal malware è necessario eseguire FRST come amministratore, aspettare che il backup del registro da parte del tool e la verifica di eventuali aggiornamenti vengano completati. Dopodichè è necessario cliccare sul bottone “Scan” per avviare la scansione.

FRST Scan

FRST scansiona le aree critiche del sistema operativo (compresi i file più recenti degli ultimi 90 giorni) e crea due file di testo, denominati rispettivamente “FRST.txt” e “Addition.txt”; dopodichè sarà possibile individuare le tracce lasciate dal malware ed eliminarle. Di seguito le tracce individuate derivanti dall’infezione del Trojan AgentTesla. Le tracce presenti all’interno del sistema sono fondamentalmente queste: l’artefatto principale, che possiamo considerare il dropper, il file maligno .exe droppato nella cartella AppData\Roaming e uno scheduled task che fa riferimento al dropped malware. Lo scheduled task fa pensare a una persistenza messa in atto da parte del malware sul PC della vittima.

Prima traccia dell’infezione
Seconda traccia dell’infezione
Terza traccia dell’infezione

A questo punto possiamo riparare i danni causati dall’infezione malware. Per prima cosa è necessario creare un file di testo denominato fixlist.txt utilizzando il Blocco Note di Windows e situato nella stessa cartella dove si trova FRST.exe

All’interno di fixlist.txt è necessario specificare tutte le aree infette del sistema per procedere all’operazione di fixing. Prima di inserire le aree da riparare però consiglio fortemente di creare un punto di ripristino utilizzando il comando “CreateRestorePoint:”.

fixlist file

Ora possiamo procedere con l’operazione di riparazione. Riapriamo FRST.exe come amministratore e clicchiamo su Fix.

FRST Fix

Il PC potrebbe richiedere il riavvio dopo la fase di riparazione dell’infezione.

La guida ufficiale di Farbar Recovery Scan Tool si può trovare a questo indirizzo: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

Hits: 179

Facebooktwitterredditlinkedintumblrmail

L’articolo Rimozione di un malware sample – AgentTesla proviene da HackTips.

HackTips

Stai cercando prodotti per l’hacking, la sicurezza informatica e il penetration testing? Hai bisogno di bonificare il tuo smartphone, il tuo pc o il tuo sito da virus e malware? Devi rintracciare una persona o recuperare delle informazioni urgenti? Devi riprendere possesso di un account, una mail o di una password che ti hanno sottratto? Vuoi acquistare device già configurati per sperimentare tutte le tecniche di hacking in modo facile e veloce? Hai esigenze particolari in ambito software o hardware? Possiamo aiutarti!

Contattaci subito per avere un aiuto immediato : dettagliaci tramite mail o Whatsapp che tipo di supporto ti occorre e ti invieremo un riscontro immediato!

Compila e invia il modulo qui sotto per inviarci subito una richiesta di supporto

Scrivi il tuo indirizzo email qui

Scrivi qui come possiamo aiutarti – ti supportiamo immediatamente per ogni tua esigenza!

Lo Staff di HackerSecret.it

, , ,
Inviaci un Whatsapp!