應(yīng)急背景
運(yùn)維人員準(zhǔn)備通過(guò)windows共享文檔方式為公司員工下發(fā)軟件安裝,開(kāi)啟完后忘記關(guān)閉了���,而且其他人可以對(duì)共享文件夾下的文件進(jìn)行刪除替換修改���,有惡搞的人就通過(guò)共享文件夾的方式��,捆綁了病毒在一些文件中����,導(dǎo)致公司員工下載安裝的時(shí)候中了病毒�。
癥狀如下圖,右鍵盤(pán)符出現(xiàn)Auto
上網(wǎng)查發(fā)現(xiàn)是auto病毒�,首要特征就是盤(pán)符下存在autorun.inf文件,待會(huì)分析就會(huì)發(fā)現(xiàn)這個(gè)文件�����,而且每次雙擊盤(pán)符都會(huì)根據(jù)autorun.inf文件重新運(yùn)行文件中指定的程序文件��,也就是說(shuō)會(huì)重新感染一次病毒�����。
分析樣本
在共享文件夾中拿到樣本后先丟到虛擬機(jī)對(duì)樣本進(jìn)行行為監(jiān)控�,看下一具體做了什么手腳。
監(jiān)控工具使用D盾:
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott
開(kāi)啟監(jiān)控
D盾可以打開(kāi)文件監(jiān)控�,主要看病毒做了什么,重點(diǎn)看創(chuàng)建了什么文件
就這就可以啟動(dòng)監(jiān)控了
感染病毒
把病毒樣本丟進(jìn)虛擬機(jī)�,記得把虛擬機(jī)網(wǎng)卡模式設(shè)置成僅主機(jī)模式,避免有的病毒把物理機(jī)也感染了���。
查看監(jiān)控
雙擊后很明顯看到有兩個(gè)詭異的文件被創(chuàng)建了
線索卡:
1.c:\\autorun.inf
2.c:\\system32\dllh0st.exe
分析病毒行為
1.autorun.inf分析
首先查看一下autorun.inf文件���,右鍵打開(kāi)盤(pán)符��,這里也可以看到確實(shí)是已經(jīng)感染了病毒了
c盤(pán)沒(méi)看到就知道肯定是做了文件隱藏了�����,只能上工具了
由于本次實(shí)驗(yàn)使用的是WinServer2003��,能夠使用XueTr�����,在分析查殺過(guò)程就直接上XueTr了����。
XueTr工具下載地址:
https://pan.baidu.com/s/1ZT-80vNkQs6gWOuvLAxTcg?pwd=d55s
我們選擇將文件拷貝出來(lái)
查看文件內(nèi)容���,我們要知道autorun.inf的作用是:允許在雙擊磁盤(pán)時(shí)自動(dòng)運(yùn)行指定的某個(gè)文件 ,那也就是說(shuō)雙擊盤(pán)符就會(huì)再次感染病毒����,可以看到這個(gè)文件是在C:\\Windows\System32文件夾下�,那就印證了我們d盾監(jiān)測(cè)到的行為�����,確實(shí)沒(méi)錯(cuò)����。
但是這里是DLLHOST.exe,不是d盾中寫(xiě)的dllh0st.exe��,具體原因不知道���,但是還是以DLLHOST.exe為準(zhǔn)��,因?yàn)槭遣《緦?duì)應(yīng)的文件����。
修改線索卡↓
線索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe
2.異常連接
沒(méi)有發(fā)現(xiàn)對(duì)外連接的異常
3.進(jìn)程排查
打開(kāi)進(jìn)程管理查看���,有大寫(xiě)的DLLHOST����,這個(gè)已經(jīng)確認(rèn)了是病毒了��,但是小寫(xiě)的dllhost進(jìn)程我們也不打包票是正常,但網(wǎng)上也能查到這個(gè)文件是系統(tǒng)原本就有的����,所以就先關(guān)注大寫(xiě)的進(jìn)程。
查看一下進(jìn)程對(duì)應(yīng)服務(wù)����,沒(méi)有發(fā)現(xiàn)異常服務(wù),就只有一個(gè)進(jìn)程運(yùn)行
tasklist /svc | findstr "4036"
那么就上工具進(jìn)行分析了
查看進(jìn)程模塊就確認(rèn)了確實(shí)是病毒�����,只有一個(gè)異常進(jìn)程模塊���。
后面就繼續(xù)看另外的dllhost�����,也沒(méi)有發(fā)現(xiàn)異常
然后這里是要跟進(jìn)進(jìn)程文件的����,或者看進(jìn)程對(duì)應(yīng)的文件路徑�,這里忘記截圖了�,顯示的是DLLHOST.exe�。
線索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe
4.啟動(dòng)項(xiàng)排查
xuetr打開(kāi)啟動(dòng)項(xiàng)就看到病毒創(chuàng)建的啟動(dòng)項(xiàng)了
打開(kāi)注冊(cè)表查看���,同樣發(fā)現(xiàn)有寫(xiě)入注冊(cè)表
線索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe
3.啟動(dòng)項(xiàng)
4.注冊(cè)表:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
查殺
分析完畢����,根據(jù)拿到的線索開(kāi)始查殺
線索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe
3.啟動(dòng)項(xiàng)
4.注冊(cè)表:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
1.先刪掉autorun.inf文件
打開(kāi)盤(pán)符記得使用右鍵�����,然后打開(kāi)���,不要直接雙擊����,否則會(huì)再次感染一遍
沒(méi)有發(fā)現(xiàn)文件��,之前分析的時(shí)候也說(shuō)了����,文件被隱藏了,只能用xuetr工具進(jìn)行刪除
像病毒相關(guān)的這種文件���,最好先勾選刪除文件且阻止再生->然后再次右鍵強(qiáng)制刪除
2.使用xuetr殺掉進(jìn)程
這里我觀察到他是刪掉我dllhost文件夾下的DLLHOST.exe�����,也就是他進(jìn)程使用的是我復(fù)制進(jìn)來(lái)的病毒源�,所以第一次的進(jìn)程運(yùn)行起來(lái)就是我的病毒源,xuetr根據(jù)進(jìn)程刪除的文件就不是system32那個(gè)文件夾下的文件刪除掉����,這里簡(jiǎn)單分析一下可以知道是掩耳盜鈴,我們重啟后就會(huì)自動(dòng)找到system32那個(gè)文件�,因?yàn)檫M(jìn)程重啟后會(huì)重新運(yùn)行,啟動(dòng)項(xiàng)對(duì)應(yīng)的DLLHOST都是對(duì)應(yīng)著system32那個(gè)文件夾下的程序文件���。
所以我們要去c:\\system32\DLLHOST.exe下進(jìn)行刪除�����,但是這個(gè)進(jìn)程對(duì)應(yīng)的文件是DLLHOST.exe����,文件也是被隱藏了的����,所以還是要用專(zhuān)業(yè)工具進(jìn)行刪除
3.啟動(dòng)項(xiàng)刪除
先定位到注冊(cè)表
因?yàn)椴恢纋oad是不是系統(tǒng)自帶的目錄項(xiàng),所以這里最好是刪掉值即可
接著回到啟動(dòng)項(xiàng)查看,發(fā)現(xiàn)已經(jīng)不見(jiàn)了�����,如果還在DLLHOST的話就需要?jiǎng)h除����。
重啟排查
現(xiàn)在打開(kāi)盤(pán)符已經(jīng)沒(méi)有auto了�����,可以正常雙擊盤(pán)符進(jìn)入
入侵排查正常流程
首先對(duì)之前病毒操作了的行為進(jìn)行再次排查
接著其他的入侵排查了
- 異常連接(netstat -ano)
- 賬戶排查(net user)
直接用d盾看了�����,這里還可以去注冊(cè)表看有沒(méi)有隱藏賬戶
- 服務(wù)排查
- 定時(shí)任務(wù)
應(yīng)急完成�,本次算是對(duì)病毒應(yīng)急的一次小小的了解,auto病毒也很久了���,主要是通過(guò)u盤(pán)傳播����,因?yàn)橛械娜怂麜?huì)插上u盤(pán)后就雙擊打開(kāi),那么這時(shí)候就會(huì)感染上病毒了��,所以通過(guò)本次實(shí)驗(yàn)要提高警戒�,u盤(pán)平時(shí)最好還是右鍵打開(kāi)的方式進(jìn)入比較安全。
?轉(zhuǎn)自https://www.cnblogs.com/dhan/p/18448168
該文章在 2025/1/6 10:12:00 編輯過(guò)
400 186 1886
