文章总结: 本文由瑞星发布,介绍了银狐木马通过伪装发票、合同等文件诱导用户点击的传播方式及其危害,包括控制电脑、窃取密码和冒充身份发送诈骗信息。文章提供了四步自查方法:显示文件真实扩展名、检查诱饵文件和异常文件路径(如System32中的temp.key、InternetExplorer中的nvsc.exe等)、排查异常计划任务、使用Autoruns工具深度检查启动项。发现异常时建议断网并使用杀毒软件全盘扫描,未感染则建议保持良好使用习惯。
综合评分: 62
文章分类: 安全意识,恶意软件,应急响应,终端安全,type2:安全意识,恶意软件,应急响应,终端安全
</p>
<p>查看是否存在:任意后缀为 .sys 的文件</p>
<p>👉位置7:C:\Users[用户名]\AppData\Roaming 目录</p>
<p>快捷打开方法:在文件夹地址栏输入:%appdata%,然后按回车</p>
<ul>
<li>是否存在名称为16位随机字母和数字组成的文件夹</li>
<li>打开该文件夹,查看是否包含:HWID或TIME文件</li>
</ul>
<p><img decoding=)
如果在以上任意位置发现对应文件或异常情况,说明电脑存在较高风险。
👉位置8:C:\Users\Public 文件夹
正常情况下该目录内容较少,如果出现以下情况需高度警惕:
- 出现不认识或名称异常的文件夹
- 文件夹中包含 .exe 等可执行程序
第三步
检查“计划任务
“银狐木马”为了每次开机都能自动运行,常会给自己创建“计划任务”。我们来检查一下:
👉操作步骤:
1.点击电脑左下角的【开始菜单】或【搜索框】。
2.在搜索框中输入“任务计划程序”(建议使用中文输入),并打开。
3.在打开的界面中,你会看到任务列表,可以逐个点击左侧的任务进行查看。
4.点击某个任务后,在下方切换到【操作】选项卡。
5.查看该任务启动的程序路径(通常显示为“程序/脚本”或“起始于”)。
👉重点关注以下异常情况:
如果出现以下任意一种情况,需要提高警惕:
-
任务名称为无意义的随机字母或乱码
-
启动的程序路径位于以下目录:
C:\Users[你的用户名]\AppData\Roaming…
C:\Users\Public…
C:\Program Files\Internet Explorer…
C:\Program Files (x86)\Internet Explorer…
第四步
用 Autoruns 深度排查启动项
现在,使用我们之前下载好的Autoruns工具进行更全面的检查。
👉操作步骤:
1.解压之前下载的 Autoruns.zip 文件。
2.根据你的系统运行对应程序:32位操作系统,请运行Autoruns.exe,64位操作系统则运行Autoruns64.exe。
3.首次运行时会弹出许可协议,点击右下角的【Agree】。
4.工具启动后,会自动加载系统中的所有启动项。
请浏览各类启动项(如 Logon、Services、Scheduled Tasks 等)
👉检查重点:
在每一个条目中,重点查看以下字段:
- Image Path
- Entry Location
这些字段表示该启动项实际指向的程序路径
👉判断逻辑:
如果发现某个启动项的路径指向以下目录:
- AppData\Roaming
- Users\Public
- Program Files\Internet Explorer
- Program Files (x86)\Internet Explorer
则该启动项存在较高风险,需要重点关注。
👉小技巧:
可以使用顶部的【Quick Filter】搜索框,输入关键词进行快速筛选,例如:\AppData\Roaming。
👉重要提示(避免误判):
在Autoruns中,你可能会看到如下路径的启动项:C:\Program Files\Internet Explorer\iexplore.exe
这是系统自带的浏览器组件,属于正常项目,请勿误判。
结果判断与后续处理建议
完成以上所有检查后,请根据实际情况采取相应措施:
A
发现可疑文件、计划任务或启动项
说明电脑中存在较高风险或异常迹象,建议按以下步骤处理:
● 保持冷静,先断网
拔掉网线或关闭 Wi-Fi,防止可疑程序继续与外部服务器通信。
● 不要自行删除文件
避免误删系统或正常程序文件。
● 使用杀毒软件进行全盘扫描
可使用如杀毒软件进行全面查杀,自动处理威胁。
● 必要时寻求专业帮助
如果扫描后仍存在无法删除的文件或异常任务,建议联系专业人员进一步处理。
B
仅发现“诱饵文件”,但系统无其他异常
如果发现了第一步中的可疑文件,但满足以下情况之一:
-
从未双击运行该文件。
-
或已被安全软件成功拦截 / 隔离。
则说明电脑未实际感染木马。
处理方式:直接删除该诱饵文件即可。
C
未发现任何异常
恭喜,这说明当前电脑未发现相关异常迹象,整体处于安全状态。
建议继续保持良好的使用习惯:
- 不点击陌生链接
- 不打开来源不明的邮件附件
- 运行文件前确认其真实类型(文件后缀)
加我星标,随时看更新↓
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:瑞星 《你的电脑藏着“银狐”吗?4步即可自查》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
![[视频]3月-完全无法检测的CobaltStrike在卡巴斯基上的表现](/images/random/titlepic/14.jpg)
评论