HackerSecret.it - Il Sito Italiano Più Autorevole sul Mondo dell'Hacking, del Penetration Testing e della CyberSecurity

  • Home
  • Scarica l’App gratuita
  • Visita il Nostro Shop
  • Contattaci per info
VISITA IL NOSTRO SHOP ! CLICCA QUI !

Rimozione di un malware sample – AgentTesla

da Lo Staff di HackerSecret.it / mercoledì, 22 Aprile 2020 / Pubblicato il Hacking

Nel presente articolo viene eseguita una rimozione di un malware Trojan AgentTesla. Il sample analizzato in questo articolo ha il seguente hash:

Hash del malware

È stato eseguito il malware come confermato dal processo maligno catturato mediante Process Hacker 2:

Processo del malware

A questo punto è stato utilizzato Farbar Recovery Scan Tool per esaminare possibili danni e problematiche del sistema derivanti dall’infezione.

Per avviare la scansione dei danni causati dal malware è necessario eseguire FRST come amministratore, aspettare che il backup del registro da parte del tool e la verifica di eventuali aggiornamenti vengano completati. Dopodichè è necessario cliccare sul bottone “Scan” per avviare la scansione.

FRST Scan

FRST scansiona le aree critiche del sistema operativo (compresi i file più recenti degli ultimi 90 giorni) e crea due file di testo, denominati rispettivamente “FRST.txt” e “Addition.txt”; dopodichè sarà possibile individuare le tracce lasciate dal malware ed eliminarle. Di seguito le tracce individuate derivanti dall’infezione del Trojan AgentTesla. Le tracce presenti all’interno del sistema sono fondamentalmente queste: l’artefatto principale, che possiamo considerare il dropper, il file maligno .exe droppato nella cartella AppData\Roaming e uno scheduled task che fa riferimento al dropped malware. Lo scheduled task fa pensare a una persistenza messa in atto da parte del malware sul PC della vittima.

Prima traccia dell’infezione
Seconda traccia dell’infezione
Terza traccia dell’infezione

A questo punto possiamo riparare i danni causati dall’infezione malware. Per prima cosa è necessario creare un file di testo denominato fixlist.txt utilizzando il Blocco Note di Windows e situato nella stessa cartella dove si trova FRST.exe

All’interno di fixlist.txt è necessario specificare tutte le aree infette del sistema per procedere all’operazione di fixing. Prima di inserire le aree da riparare però consiglio fortemente di creare un punto di ripristino utilizzando il comando “CreateRestorePoint:”.

fixlist file

Ora possiamo procedere con l’operazione di riparazione. Riapriamo FRST.exe come amministratore e clicchiamo su Fix.

FRST Fix

Il PC potrebbe richiedere il riavvio dopo la fase di riparazione dell’infezione.

La guida ufficiale di Farbar Recovery Scan Tool si può trovare a questo indirizzo: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

Hits: 179

social-container synved-social-container-share” style=”text-align: right”>Facebooktwitterredditlinkedintumblrmail

L’articolo Rimozione di un malware sample – AgentTesla proviene da HackTips.

HackTips

https://youtu.be/ocaU5KZO4k8
Taggato in: AgentTesla, Malware, Rimozione, sample

Cerca nel Sito

Clicca subito qui per visitare il nostro Shop!

Clicca subito qui per visitare il nostro Shop!

Altri 2300 utenti come te lo hanno già fatto quest'anno!

Gli ultimi articoli

  • I più famosi hacker italiani

  • Cos’è l’informatica forense?

  • Come capire se ti spiano il cellulare?

  • Il concetto di sicurezza informatica

  • Metasploit tutorial in italiano

Tutte le tecniche, i prodotti e i servizi descritti o contenuti in questo sito si intendono per uso esclusivo di studio e di aggiornamento professionale e per testare la sicurezza della propria rete informatica in accordo alle vigenti normative sull'accesso a sistemi informativi e telematici (cfr. art. 615 ter c.p. e successive modifiche).

TORNA SU
WeCreativez WhatsApp Support
Possiamo supportarti per ogni tua esigenza. Contattaci subito specificando il supporto, prodotto o servizio che ti serve!
Ciao, come possiamo aiutarti?
Ciao, come possiamo aiutarti?