使用防病毒软件对受害主机进行全盘扫描。确保清除下载的恶意文件(2018_11Details_zur_Transaktion.doc、6169583.exe),以及下载后释放的文件(473.exe、nirmalacolorer.exe等)、删除服务nirmalacolorer。
4.4预防(1)安装防病毒软件,及时更新。
(2)使用防病毒安全网关,防止病毒进入内网。
(3)在防火墙上设置网络策略,禁止与病毒相关的IP进行通信。
(4)安全教育,提高员工的网络安全意识,不要随意点击来路不明的网址等。
五、总结本文主要讲述针对流量包的分析,一些简单的Wireshark使用技巧:过滤、文件导出、追踪流,以及威胁情报的解读。
六、参考微步云沙箱分析报告-Firmenkunden:https://s.threatbook.cn/report/file/09ebe4229a74cdb1212671e6391742cc6bee387bf14da02974b07857b27f9223/?sign=history&env=win7_sp1_enx86_office2013
微步云沙箱分析报告- 6169583.exe:https://s.threatbook.cn/report/file/69e731afb5f27668b3a77e19a15e62cce84e623404077a8563fcf61450d8b741/?sign=history&env=win7_sp1_enx86_office2013