关于某实验室病毒分析报告

admin
admin
admin
138531
文章
114
评论
2021年9月25日18:04:32评论123 views字数 2064阅读6分52秒阅读模式

关于某实验室病毒分析报告

4月21日晚11点,双眼迷离的我看着已经2个小时没有预警的全流量设备,还在苦苦思索着漫漫长夜何时才能等来白班交接的师傅,这个时候手机屏幕亮起了,警觉的我放下了左手的红牛和右手的卫龙,从躺椅上坐直了起来,“小花啊,实验室电脑种病毒了啊,你看看是什么情况,大致就是师傅们的U盘文件全部变成了exe文件,如果点击这个exe文件的话,是没有运行结果的,但是电脑桌面上的文件也全部变成了exe文件,赶紧分析一下是什么情况”电话那边传来了久违的声音,于是大家就看到了下面的分析报告。

前期信息

病毒具有传染的功能,是通过u盘进行传播的,所有文件会变成一个exe,C++语言,没有壳,32位

关于某实验室病毒分析报告

处置背景

人在外地无法在已经被感染主机上进行分析,目前只能获取到了被修改格式的文件。

判断已经被感染的文件是否具有传染能力

双击启动任一exe文件,在procnom中监控信息如下

关于某实验室病毒分析报告

解读:

「Step1」: Createfile:创建文件  路径: C:Documents and SettingsAdministrator

「Step2」: QueryDirectory:查询目录:查看的是桌面上的文件

「Step3」: CreateFile:路径:C:Documents and SettingsAdministrator桌面,我们确实看到了一个灰色的文件

关于某实验室病毒分析报告

「Step4」: 之后的查询预计是为了验证文件是否创建成功

「Step5」: QueryDirectory:查询是否456.exe:Zone.Identifier存在

关于某实验室病毒分析报告

「Step6」: RegOpenKey 注册表打开键 路径:HKLMSoftwareMicrosoftWindowsCurrentVersionApp Paths456.exe

「Step7」: RegQueryKey 读取注册表默认值HKCUSoftwareMicrosoftWindowsShellNoRoamMUICacheC:Documents and SettingsAdministrator桌面456.exe

「Step8」: SetBasicInformationFile设置基本信息文件

「Step9」: 验证完整性

以上是点击456.exe会在电脑中更改的相关信息,不能判断出是否存在autorun,ini文件,但是如果我们双击xxx.exe的话会进行传染,根据已知情况适用于xp和7。

后续456.exe的行为如下

关于某实验室病毒分析报告

「Step1」: LoadImage 装载镜像

「Step2」: CreateFileMapping创建一个新的文件映射内核创建 Step3:调用了一些dll文件

如下图:

关于某实验室病毒分析报告

执行流程

关于某实验室病毒分析报告

行为

高危: 设置注册表实现自启动
中危:
1、样本存在反调试
2、疑似存在键盘记录器
3、自启动
4、疑似存在检查IE安全设置
5、自身文件拷贝

病毒预测

「灰鸽子变种木马」:杀毒软件即可

「Virus.Win32.AutoRun」:有局域网传播可能,要注意网络共享关闭,杀毒软件即可

「特洛伊木马」:存在被远控可能,删除所有新增程序,后使用杀毒软件

感染样本信息

「SHA256」
bed10a12c64204412a3051776c8c4ff1318fa423f3475badfabac84e22774f01

「运行环境」 :
win7_sp1_enx86_office2013

「样本类型」 :
PE32 executable (GUI) Intel 80386, for MS Windows

解决办法

「Step1」: 打开cmd 输入tasklist

「Step2」: 终止进程 指令:** taskkill /f /im + 对应的PID值 ** /f 表示强制执行 /im 表示文件

关于某实验室病毒分析报告

红框中是可疑进程,所以我这里的指令就是

taskkill /f /im 904
taskkill /f /im 972
taskkill /f /im 1080
taskkill /f /im 1528

具体要kill哪些进程,我建议这样做
  首先找一台实验室没有感染病毒的电脑查看进程对比已经中毒电脑的进程,讲不一样的全部kill即可

「Step3」: 查询启动项

关于某实验室病毒分析报告

关于某实验室病毒分析报告

同样的新增的自启动项和没有感染病毒的电脑对比,禁用。

再取消之前还是要验证一下的

上图中的位置我们记住然后在注册表中查看一下

关于某实验室病毒分析报告

关于某实验室病毒分析报告

然后禁用,这个时候会弹窗问你是否重启,这个时候不要重启 再回注册表刷新一下看看修改了没有

「Step4」: 进入文件夹中删除文件(通过cmd)

关于某实验室病毒分析报告

「Step5」: 删除隐藏文件

关于某实验室病毒分析报告

关于某实验室病毒分析报告

删除的文件要根据每台电脑的实际情况进行。

「Step6」: 重启电脑

注意!!!

其实可以先试试直接用杀毒软件

恢复文件我建议使用CHK文件恢复专家,如果无法恢复的话就凉凉了。

「Step7」: 查毒软件跑一次

本次中毒原因分析

  1. 如果说系统不能更新是因为要在win7的环境下做实验,那么一定要按时更新杀毒软件的病毒库
  2. 中毒原因大概率是因为有师傅的u盘中带了已经被感染的文件,师傅们u盘插入电脑后又双击感染文件导致电脑中毒
  3. 中毒数量多是因为师傅一直换着电脑插u盘!!!!发现中毒之后切记不要再插了!!!


本文始发于微信公众号(bgbing安全):关于某实验室病毒分析报告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月25日18:04:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于某实验室病毒分析报告http://cn-sec.com/archives/375809.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息