自己动手搭建恶意软件样本行为分析环境(二)
2008-12-11 22:53
453 查看
样本分析实例
样本是一个伪装成wmv媒体文件的可执行文件,如图:
498)this.style.width=498;" border=0>
它使用了wmv文件的图标,由于Windows默认不显示已知文件的扩展名,因此目标样本的真实名字是WR.wmv.exe。
分析流程:
1)测试环境做一个恢复用的快照(Snapshot),使用体机的测试环境可以用Ghost来达到相同目的。
2)依次启动InstallRite和ProcessMonitor,先给ProcessMonitor做Filter配置:
498)this.style.width=498;" border=0>配置时用exclude方式将与目标样本无关的程序如csrss.exe、installrite.exe等程序对注册表的操作过滤,只留下explorer.exe、services.exe、svchost.exe等目标样本可能使用到的程序。
使用InstallRite对系统状态做一个快照:
498)this.style.width=498;" border=0>注:在使用InstallRite做快照的时候可以先把ProcessMonitor的监视暂停。
3)运行目标样本
4)ProcessMonitor的监视显示目标样本运行时启动了Iexplore.exe和svchost.exe:
498)this.style.width=498;" border=0>用InstallRite对目标样本执行前后的系统状态进行对比,在InstallRite的界面选ReviewInstallation查看对比的结果:
新增的文件:
498)this.style.width=498;" border=0>新增的注册表项:
498)this.style.width=498;" border=0>删除的文件:
498)this.style.width=498;" border=0>目标样本在C:/programfiles/CommonFiles/MicrosoftShared/Msinfo路径下新建了2个文件,paramstr.txt和svchost.exe,并添加了一个叫做Svchost的服务。完成这两个操作之后,目标样本把自身删除。
5)使用Gmer和ProcessExplorer检查系统发生的改变:
498)this.style.width=498;" border=0>
498)this.style.width=498;" border=0>从ProcessExplorer和Gmer的显示结果可知,目标样本启动了一个隐藏的Iexplore.exe进程。
6)使用TCPView查看网络连接
498)this.style.width=498;" border=0>可以看见目标样本启动的Iexplore.exe进程连接的是
186.119.232.72.reverse.layeredtech.com的http(80)端口。
7)使用Ethereal抓包检查网络连接的数据
498)this.style.width=498;" border=0>
Ethereal五分钟的抓包结果显示,目标样本会通过DNS服务器查询(www.ifrstats.com)的IP地址,并每隔30秒向其发送TCP包,包的长度为0,具体含义未知。
8)分析和文档
综合以上工具的监视结果,我们可以总结出样本的性质,目标样本为一个服务安装启动方式的木马程序,会使用进程注入技术(注入Iexplore.exe)穿透防火墙的网络连接控制,并带简单的Rootkit功能(隐藏其启动的iexplore.exe进程)
目标样本分析结果整理后,记录如下:
样本分析结果记录表 样本编号:TR061125A2
根据检查结果登记表,就可以对该目标样本感染过的计算机进行有针对性的清理,更进一步的可以编写专杀程序,或者将检查的结果提交应急响应机构,不过这就不是本文要讨论的内容了。
样本是一个伪装成wmv媒体文件的可执行文件,如图:
498)this.style.width=498;" border=0>
它使用了wmv文件的图标,由于Windows默认不显示已知文件的扩展名,因此目标样本的真实名字是WR.wmv.exe。
分析流程:
1)测试环境做一个恢复用的快照(Snapshot),使用体机的测试环境可以用Ghost来达到相同目的。
2)依次启动InstallRite和ProcessMonitor,先给ProcessMonitor做Filter配置:
498)this.style.width=498;" border=0>配置时用exclude方式将与目标样本无关的程序如csrss.exe、installrite.exe等程序对注册表的操作过滤,只留下explorer.exe、services.exe、svchost.exe等目标样本可能使用到的程序。
使用InstallRite对系统状态做一个快照:
498)this.style.width=498;" border=0>注:在使用InstallRite做快照的时候可以先把ProcessMonitor的监视暂停。
3)运行目标样本
4)ProcessMonitor的监视显示目标样本运行时启动了Iexplore.exe和svchost.exe:
498)this.style.width=498;" border=0>用InstallRite对目标样本执行前后的系统状态进行对比,在InstallRite的界面选ReviewInstallation查看对比的结果:
新增的文件:
498)this.style.width=498;" border=0>新增的注册表项:
498)this.style.width=498;" border=0>删除的文件:
498)this.style.width=498;" border=0>目标样本在C:/programfiles/CommonFiles/MicrosoftShared/Msinfo路径下新建了2个文件,paramstr.txt和svchost.exe,并添加了一个叫做Svchost的服务。完成这两个操作之后,目标样本把自身删除。
5)使用Gmer和ProcessExplorer检查系统发生的改变:
498)this.style.width=498;" border=0>
498)this.style.width=498;" border=0>从ProcessExplorer和Gmer的显示结果可知,目标样本启动了一个隐藏的Iexplore.exe进程。
6)使用TCPView查看网络连接
498)this.style.width=498;" border=0>可以看见目标样本启动的Iexplore.exe进程连接的是
186.119.232.72.reverse.layeredtech.com的http(80)端口。
7)使用Ethereal抓包检查网络连接的数据
498)this.style.width=498;" border=0>
Ethereal五分钟的抓包结果显示,目标样本会通过DNS服务器查询(www.ifrstats.com)的IP地址,并每隔30秒向其发送TCP包,包的长度为0,具体含义未知。
8)分析和文档
综合以上工具的监视结果,我们可以总结出样本的性质,目标样本为一个服务安装启动方式的木马程序,会使用进程注入技术(注入Iexplore.exe)穿透防火墙的网络连接控制,并带简单的Rootkit功能(隐藏其启动的iexplore.exe进程)
目标样本分析结果整理后,记录如下:
样本分析结果记录表 样本编号:TR061125A2
项目 | 属性 | 详细描述 | 备注 |
自删除 | 是 | ||
进程注入 | 是 | 注入到C:/program files/Internet Explorer/iexplore.exe | Iexplore.exe为隐藏进程,使用Gmer检查。 |
安装路径 | 路径:C:/program files/common files/microsoft shared/MSInfo/ svchost.exe Paramstr.txt | ||
注册表 | //LMHK/SYSTEM/CurrentControlSet/Services/ 新增svchost | ||
启动方式 | 服务启动 | 系统增加以svchost命名的服务 | |
网络连接 | TCP | 186.119.232.72.reverse.layeredtech.com 72.232.119.186 www.ifrstats.com (DNS) | 网络连接内容未知。 |
相关文章推荐
- 自己动手搭建恶意软件样本行为分析环境 推荐
- 自己动手搭建恶意软件样本行为分析环境
- 自己动手搭建恶意软件样本行为分析环境(一)
- Droidbox恶意软件动态分析环境搭建
- 自己动手搭建Android开发环境
- 自己动手写操作系统(二)——搭建bochs环境
- 《自己动手写操作系统》搭建你的工作环境
- 自己动手搭建 Linux 0.12 编译环境 — Linux主机
- 自己动手搭建 MongoDB 环境,并建立一个 .NET HelloWorld 程序测试
- 电商用户行为分析大数据平台相关系列2-HADOOP环境搭建
- 自己动手在Red Hat Enterprise 6.0上搭建LAMP开发环境,你也可以的!
- 自己动手搭建Nginx+memcache+xdebug+php运行环境绿色版 For windows版
- 自己动手写操作系统之Windows7下使用Bochs搭建工作环境
- 自己动手搭建软件WiFi热点
- (转)自己动手搭建Nginx+memcache+xdebug+php运行环境绿色版 For windows版
- 自己动手搭建一个简易的SpringBoot环境
- 自己动手写操作系统(二)——搭建bochs环境
- 自己动手搭建React开发环境之三Webpack
- 自己动手写操作系统:0.环境搭建