在共享文件夹中拿到样本后先丢到虚拟机对样本进行行为监控,看下一具体做了什么手脚。
监控工具使用D盾:
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott
开启监控
D盾可以打开文件监控,主要看病毒做了什么,重点看创建了什么文件
就这就可以启动监控了
感染病毒
把病毒样本丢进虚拟机,记得把虚拟机网卡模式设置成仅主机模式,避免有的病毒把物理机也感染了。
查看监控
双击后很明显看到有两个诡异的文件被创建了
线索卡:
1.c:\\autorun.inf2.c:\\system32\dllh0st.exe
分析病毒行为
1.autorun.inf分析
首先查看一下autorun.inf文件,右键打开盘符,这里也可以看到确实是已经感染了病毒了
c盘没看到就知道肯定是做了文件隐藏了,只能上工具了
由于本次实验使用的是WinServer2003,能够使用XueTr,在分析查杀过程就直接上XueTr了。XueTr工具下载地址:
https://pan.baidu.com/s/1ZT-80vNkQs6gWOuvLAxTcg?pwd=d55s
我们选择将文件拷贝出来
查看文件内容,我们要知道autorun.inf的作用是:允许在双击磁盘时自动运行指定的某个文件 ,那也就是说双击盘符就会再次感染病毒,可以看到这个文件是在C:\\Windows\System32文件夹下,那就印证了我们d盾监测到的行为,确实没错。
但是这里是DLLHOST.exe,不是d盾中写的dllh0st.exe,具体原因不知道,但是还是以DLLHOST.exe为准,因为是病毒对应的文件。
修改线索卡↓
线索卡:
1.c:\\autorun.inf2.c:\\system32\DLLHOST.exe
2.异常连接
没有发现对外连接的异常
3.进程排查
打开进程管理查看,有大写的DLLHOST,这个已经确认了是病毒了,但是小写的dllhost进程我们也不打包票是正常,但网上也能查到这个文件是系统原本就有的,所以就先关注大写的进程。
查看一下进程对应服务,没有发现异常服务,就只有一个进程运行
tasklist /svc | findstr "4036"
那么就上工具进行分析了
查看进程模块就确认了确实是病毒,只有一个异常进程模块。
后面就继续看另外的dllhost,也没有发现异常
然后这里是要跟进进程文件的,或者看进程对应的文件路径,这里忘记截图了,显示的是DLLHOST.exe。
线索卡:
1.c:\\autorun.inf2.c:\\system32\DLLHOST.exe
4.启动项排查
xuetr打开启动项就看到病毒创建的启动项了
打开注册表查看,同样发现有写入注册表
线索卡:
1.c:\\autorun.inf2.c:\\system32\DLLHOST.exe3.启动项4.注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
