Nel presente articolo viene eseguita una rimozione di un malware Trojan AgentTesla. Il sample analizzato in questo articolo ha il seguente hash:
È stato eseguito il malware come confermato dal processo maligno catturato mediante Process Hacker 2:
A questo punto è stato utilizzato Farbar Recovery Scan Tool per esaminare possibili danni e problematiche del sistema derivanti dall’infezione.
Per avviare la scansione dei danni causati dal malware è necessario eseguire FRST come amministratore, aspettare che il backup del registro da parte del tool e la verifica di eventuali aggiornamenti vengano completati. Dopodichè è necessario cliccare sul bottone “Scan” per avviare la scansione.
FRST scansiona le aree critiche del sistema operativo (compresi i file più recenti degli ultimi 90 giorni) e crea due file di testo, denominati rispettivamente “FRST.txt” e “Addition.txt”; dopodichè sarà possibile individuare le tracce lasciate dal malware ed eliminarle. Di seguito le tracce individuate derivanti dall’infezione del Trojan AgentTesla. Le tracce presenti all’interno del sistema sono fondamentalmente queste: l’artefatto principale, che possiamo considerare il dropper, il file maligno .exe droppato nella cartella AppData\Roaming e uno scheduled task che fa riferimento al dropped malware. Lo scheduled task fa pensare a una persistenza messa in atto da parte del malware sul PC della vittima.
A questo punto possiamo riparare i danni causati dall’infezione malware. Per prima cosa è necessario creare un file di testo denominato fixlist.txt utilizzando il Blocco Note di Windows e situato nella stessa cartella dove si trova FRST.exe
All’interno di fixlist.txt è necessario specificare tutte le aree infette del sistema per procedere all’operazione di fixing. Prima di inserire le aree da riparare però consiglio fortemente di creare un punto di ripristino utilizzando il comando “CreateRestorePoint:”.
Ora possiamo procedere con l’operazione di riparazione. Riapriamo FRST.exe come amministratore e clicchiamo su Fix.
Il PC potrebbe richiedere il riavvio dopo la fase di riparazione dell’infezione.
La guida ufficiale di Farbar Recovery Scan Tool si può trovare a questo indirizzo: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/