วิธีการระบุมัลแวร์จาก Sunspot นั้นมีอยู่อย่างไร


1

ฉันเพิ่งดูมัลแวร์นี้ทำคนที่โจมตีกลางหนึ่งในลูกค้าของฉันจ่ายค่าบริการโดยใช้บัตรเครดิตของพวกเขาและไม่สามารถหาแหล่งใด ๆ เพื่อยืนยันว่าเป็นจริงแล้ว Sunspot ดังนั้นฉันจึงสามารถตรวจสอบกระบวนการลบโพสต์ได้ ไม่มีการป้องกันไวรัสตรวจพบมัน! http://www.net-security.org/malware_news.php?id=1719 ความคิดเห็นใด ๆ


คุณ "ดู" คุณเป็นอย่างไรบ้าง แพ็คเก็ตดมกลิ่น?
Andrew Lambert

ลองดิสก์สำหรับบูต System Sweeper .... connect.microsoft.com/systemsweeper
Moab


ฉันดูผู้ใช้เสร็จสิ้นการทำธุรกรรมที่พวกเขาทำเป็นรายเดือนและเมื่อพวกเขาโพสต์กลับรูปแบบอื่นผุดตรงตามที่อธิบายไว้ในบทความ อ้างว่าเป็นมาสเตอร์การ์ด แต่ลิงก์รูปภาพเสียหาย ของรางวัลคือมันกำลังขอรหัสเอทีเอ็ม ฉันจะคว้าภาพหน้าจอในครั้งต่อไป
Cameron McGrane

อัปเดตชื่อและคำอธิบายเพื่อ "ระบุ" เพื่อกำหนดปัญหาให้ถูกต้องมากขึ้น
Cameron McGrane

คำตอบ:


1

ฉันจะดูสองคีย์รีจิสตรีที่กล่าวถึงในบทความที่คุณโพสต์นี่คือที่ที่มันเปิดตัว

เมื่อติดตั้งแล้ว Sunspot จะเริ่มโดย "rundll32.exe" ผ่านทาง

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run 

หรือผ่าน

คอมโพเนนต์ Setup \ Installed HKLM \ SOFTWARE \ Microsoft \ Active HKL \ SOFTWARE \ Microsoft \ Active 

ใช้ CBT hooking เพื่อโหลด DLL ลงในเบราว์เซอร์ (Internet Explorer / Firefox)

หรือดีกว่ายังใช้เบราว์เซอร์ไม่ได้ "ขอ" เช่นเบราว์เซอร์ Chrome


ใช่ฉันตรวจสอบ HKCU \ RUN ชัดเจนแล้ว HKLM \ Install คอมโพเนนต์มี CLSID และโฟลเดอร์แยกกันมากเกินไป เบ็ดหมายถึงอะไร
Cameron McGrane

"ใช้ CBT hooking เพื่อโหลด DLL ลงในเบราว์เซอร์ (Internet Explorer / Firefox)" เป็นคำที่ใช้เพื่ออธิบายการฉีดกระบวนการหรือ dll ลงในโปรแกรมหรือกระบวนการอื่นบางอย่างถูกต้องตามกฎหมายบางส่วนเป็นมัลแวร์
Moab

คุณจะต้องตรวจสอบคีย์ส่วนประกอบการติดตั้งทั้งหมดเพื่อหาสิ่งที่ไม่ถูกต้องตามกฎหมายในบานหน้าต่างด้านขวาใช้ google เมื่อจำเป็นฉันมีส่วนประกอบที่ติดตั้งเพียง 24 ตัวในคีย์ reg ของฉัน คุณจะมองหา dll หรือพา ธ ไปยัง dll ที่ไม่ใช่ windows dll ที่ถูกกฎหมาย คุณลองใช้ System Sweeper ที่ฉันแนะนำหรือไม่
Moab

ฉันใช้ System Sweeper ซึ่งกำจัดมัลแวร์สำเร็จ
Cameron McGrane

ฉันชอบสแกนซีดีสำหรับบูตเครื่องมันดีมาก ดีใจที่คุณได้ลบมันออก .... superuser.com/questions/100360/…
Moab
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.