自己動手搭建惡意軟體樣本行為分析環境（二）

樣本分析例項

樣本是乙個偽裝成wmv**檔案的可執行檔案，如圖：

它使用了wmv檔案的圖示，由於windows預設不顯示已知檔案的副檔名，因此目標樣本的真實名字是wr.wmv.exe。

分析流程：

1）測試環境做乙個恢復用的快照(snapshot)，使用體機的測試環境可以用ghost來達到相同目的。

2）依次啟動installrite和processmonitor，先給processmonitor做filter配置：

配置時用exclude方式將與目標樣本無關的程式如csrss.exe、installrite.exe等程式對登錄檔的操作過濾，只留下explorer.exe、services.exe、svchost.exe等目標樣本可能使用到的程式。

使用installrite對系統狀態做乙個快照：

注：在使用installrite做快照的時候可以先把processmonitor的監視暫停。

3）執行目標樣本

4）processmonitor的監視顯示目標樣本執行時啟動了iexplore.exe和svchost.exe：

用installrite對目標樣本執行前後的系統狀態進行對比，在installrite的介面選reviewinstallation檢視對比的結果：

新增的檔案：

新增的登錄檔項：

刪除的檔案：

目標樣本在c:/programfiles/commonfiles/microsoftshared/msinfo路徑下新建了2個檔案，paramstr.txt和svchost.exe，並新增了乙個叫做svchost的服務。完成這兩個操作之後，目標樣本把自身刪除。

5）使用gmer和proces***plorer檢查系統發生的改變：

從proces***plorer和gmer的顯示結果可知，目標樣本啟動了乙個隱藏的iexplore.exe程序。

6）使用tcpview檢視網路連線

可以看見目標樣本啟動的iexplore.exe程序連線的是

186.119.232.72.reverse.layeredtech.com的http(80)埠。

7）使用ethereal抓包檢查網路連線的資料

ethereal五分鐘的抓包結果顯示，目標樣本會通過dns伺服器查詢(www.ifrstats.com

)的ip位址,並每隔30秒向其傳送tcp包，包的長度為0，具體含義未知。

8)分析和文件

綜合以上工具的監視結果，我們可以總結出樣本的性質，目標樣本為乙個服務安裝啟動方式的木馬程式，會使用程序注入技術（注入iexplore.exe）穿透防火牆的網路連線控制，並帶簡單的rootkit功能（隱藏其啟動的iexplore.exe程序）

目標樣本分析結果整理後，記錄如下：

樣本分析結果記錄表樣本編號:tr061125a2

專案

屬性

詳細描述

備註

自刪除是

程序注入

是注入到

c:/program files/internet explorer/iexplore.exe

iexplore.exe

為隱藏程序，使用

gmer

檢查。安裝路徑

路徑：c:/program files/common files/microsoft shared/msinfo/

svchost.exe

paramstr.txt

登錄檔//lmhk/system/currentcontrolset/services/

新增svchost

啟動方式

服務啟動

系統增加以

svchost

命名的服務

網路連線

tcp

186.119.232.72.reverse.layeredtech.com

72.232.119.186

www.ifrstats.com (dns)

網路連線內容未知。

根據檢查結果登記表，就可以對該目標樣本感染過的計算機進行有針對性的清理，更進一步的可以編寫專殺程式，或者將檢查的結果提交應急響應機構，不過這就不是本文要討論的內容了。

自己動手搭建惡意軟體樣本行為分析環境（二）

自己動手搭建MVC之二

自己動手搭建MVC之三

自己動手搭建NAS（一）簡介

自己動手搭建惡意軟體樣本行為分析環境（二）

自己動手搭建MVC之二

自己動手搭建MVC之三

自己動手搭建NAS（一） 簡介

相關推薦

自己動手搭建NAS（一）簡介