通过对恶意代码中URL的挖掘,发现一个下载链接http://www.tzyitao.com/csrss.exe,进入链接后就会下载一个csrss.exe的文件,通过分析发现该文件是一个Gh0st远控木马。该木马通过挂载到其他网站上进行传播,而此次事件中,被挂马的网站是泰州市亿涛通信设备厂的网站http://www.tzyitao.com。
图1:泰州市亿涛通信设备厂网站主页
通过现在连接,下载到一个csrss.exe文件。
图2:下载链接
csrss.exe显示为一个图片文件图标,并隐藏起后缀,具有很大的迷惑性,易被网络用户点开,同时文件名称csrss.exe为系统进程名,被运行后,其进程不易被发现。
图3:csrss.exe文件伪装为图片文件,并隐藏后缀
经过追影高级威胁鉴定为gh0st变种
处置过程如下:
1. 检测方法
1) Atool工具检测
a) Atool进程管理,右键进程界面->受信检查->全面检查,会发现如下图所示威胁进程csrss.exe。
图4:Atool进程管理
b) 在自启动项中也可看到威胁启动项csrss.exe。
图5:系统启动项监测
2. 清除方法
1) 关闭图片图标的csrss.exe进程。
2) 删除文件csrss.exe。
3) 删除注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下SVCSHOST键值。