设为首页收藏本站

 找回密码
 立即注册

只需一步,快速开始

搜索
查看: 91|回复: 0

[实用软件] 分享一款服从型ARK工具(ATool)

[复制链接]
累计签到:28 天
连续签到:1 天
灌水成绩
1
201
13490
主题
帖子
积分

等级头衔

ID : 599

中级工程师

积分成就 测量币 : 13490
在线时间 : 0 小时
注册时间 : 2025-12-25
最后登录 : 2026-7-4

勋章
UID勋章测量学徒测量员
发表于 2023-12-10 20:07:23 | 显示全部楼层 |阅读模式 IP:广东东莞
ATool是针对系统举行安全分析和反RootKit木马的工具,有Windows版本和信创系统版本。主要供网络管理员、勘察取证人员、盘算机爱好者和专业用户利用。ATool对进程、服务、驱动、内核模块等实行对象和启动项、操持任务等环境设置举行相关枚举,并以清单的方式来呈现。通过本地库+云端对象信誉查询的方式对相关对象的安全信誉举行评价,从而“孤立”出威胁对象和值得提取分析的可疑对象。

这次推荐的是全新版本 ATool 3.5(免费版)

免费下载地点:点击免费下载 >>>https://vs2.antiy.cn

实战处置视频:点击立刻观看 >>> 实战演示丨ATool快速清除典型蠕虫MyDoom

或拿出手机扫码观看




————————【案例相关信息】————————

在长期的一样平常安全事件监测过程中,安天CERT经常捕获到大量的MyDoom蠕虫样本和传播该蠕虫的钓鱼邮件。受害主机感染MyDoom后会被放置后门,以便攻击者下发后续恶意软件,举行攻击或窃密等操作。MyDoom蠕虫最早发现于2004年,至今仍旧活跃,主要利用SMTP协议传播钓鱼邮件。研究人员通太过析发现,MyDoom蠕虫落地后会将自身的前三个区段名替换为随机生成的8个字母,并将其作为钓鱼邮件的附件再次发送,导致每次传播时样本的哈希值均不相同。

MyDoom蠕虫运行后会不断扫描主机文件,提取邮箱地点,随机获取样本中的邮件标题、发件人等信息,压缩后的MyDoom作为附件生成钓鱼邮件,利用SMTP协议不断发送钓鱼邮件。最后利用DGA(域名生成算法)生成上线域名,举行三次校验后,回传本地信息,并等待“DDoS攻击、下发恶意文件和可移动介质传播”等指令,期间会释放多个文件以及写入注册表,对于此种情况,可利用集成的ARK工具ATool举行快速处置。
关于恶意样本MyDoom

MyDoom传播:

1. 钓鱼邮件

安天CERT捕获到多封传播MyDoom蠕虫的钓鱼邮件,其附件内可实行文件为MyDoom蠕虫。邮件中包含具有疑惑性的标题和正文内容,例如:“网络汇款提示”、“生日祝福”、“更改账户密码关照”等,以诱导用户点击查看附件。部分钓鱼邮件如图所示:



2. 攻击流程

MyDoom蠕虫通过钓鱼邮件举行传播,运行后会创建注册表启动项,复制自身到C:\Windows\system32\smnss.exe并启动。smnss.exe被启动后会调用线程不断从本地提取邮箱地点并发送钓鱼邮件,最后连接C2服务端等待下发指令,如DDoS攻击、下发恶意文件和可移动介质传播等操作。



3. 利用ATool举行清除

系统深度分析工具ATool是安天实验室在2006年开始发布更新的一款系统安全内核分析和RootKit检测工具,因Windows 10以后系统签名和启动认证的要求更为苛刻,很多原有免费ARK工具都不能在Windows 10等更新的系统下运行,所以近日安天更新发布了ATool V3.5免费版本,增强了对 Windows 10及Windows 11版本的支持,可在安天垂直响应平台下载,如下所示:



MyDoom释放文件、创建注册表较多,若利用任务管理器、资源管理器和注册表编辑器等Windows自带工具举行处置,则会导致频繁切换工具使得操作不便、效率低。当MyDoom蠕虫加载shervans.dll后会启动线程不断调用smnss.exe(病毒母体),所以清除时需要先关闭该进程。由于shervans.dll会启动线程开启3159端口,所以可以利用这个作为特性识别最初的样本,利用ATool可快速识别到开启该端口的进程并举行处置。

以x64位MyDoom为例:

1)端口管理中,暴力删除开启3159端口的进程,利用“删除文件”不能删除运行状态下的文件。



2)进程管理中,结束并删除附件进程。



3)自启动项中,删除自启动项ctfmen,暴力删除ctfmen.exe文件。



定位到注册表,删除该项。



4)文件管理中,删除SysWOW64下的释放文件,先点击修改时间举行排序,随后点击查找举行文件的定位,最后利用暴力删除文件将文件删除,除下图所示仍需删除shervans.dll、grcopy.dll。



5)注册表管理中,定位到注册表项后删除表项,除下图所示仍需删除,HKEY_LOCAL_MACHINE(或HKEY_CURRENT_USER)\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\vulnvol32\Version中的表项。



防护建议

1)安装终端防护软件:安装反病毒软件;

2)增强口令强度:避免利用弱口令,建议利用16位或更长的口令,包括大小写字母、数字和符号在内的组合,同时避免多个服务器利用相同口令;

3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源;

4)若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对盘算机举行排查。
快速回复换一批
感谢楼主,好人一生平安
顶顶顶
马克一下(MK)。字字珠玑,容我回去消化一下再来交作业。 🧠🧐
看帖回帖是美德。 悄悄地我来了,顺便留下一条充满正能量的回帖。 🌊🤝
学到了! 请问楼主,这个方法在实际操作中有什么需要特别注意的坑吗? 🧐❓
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|精密测量技术论坛 ( 桂ICP备2026007449号-1 )

GMT+8, 2026-7-5 15:06 , Processed in 0.735168 second(s), 43 queries .

Powered by 精密测量技术论坛

© 2025-2026 联系站长

快速回复 返回顶部 返回列表