告警类型:【恶意软件】僵尸网络
IOC:analyzev.oss-cn-beijing.aliyuncs.comanalyzev.oss-cn-beijing.aliyuncs.com
威胁简介:
Artemis是一种运行于Windows系统的DDos远控木马程序,是Nitol家族的一个变种,最早发现于2012年,主要活动范围为中国。受此恶意代码感染的计算机执行DDoS攻击,下载并执行可执行文件、产生浏览器劫持、计算机安全性变差、终止反病毒软件,浏览器,注册表编辑器或Windows任务管理器等现象。
细节:
1.复制自身到以下文件夹: %SysDir%\srvrest.exe %WinDir%\dirsys.exe
2.修改以下注册表项,保证其随计算机自启: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"jazz20185"= "%SysDir%\srvrest.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"5u12y41"= "%WinDir%\dirsys.exe"
3.添加以下值到注册表键,导致禁用任务管理器,文件夹选项,注册和命令提示符: HKEY_USERS\S-1-(Varies)\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions"= "0x00000001" HKEY_USERS\S-1-(Varies)\ Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools"="0x00000001" HKEY_USERS\S-1-(Varies)\ Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr"="0x00000001" HKEY_USERS\S-1-(Varies)\ Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableCMD"="0x00000001"
4.修改以下注册表项,隐藏文件扩展名: [HKEY_USERS\S-1-(Varies)\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt"=" 0x00000001"
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
