Windows应急响应-Auto病毒

文章目录

  • 应急背景
  • 分析样本
    • 开启监控
    • 感染病毒
    • 查看监控
    • 分析病毒行为
      • 1.autorun.inf分析
      • 2.异常连接
      • 3.进程排查
      • 4.启动项排查
  • 查杀
    • 1.先删掉autorun.inf文件
    • 2.使用xuetr杀掉进程
    • 3.启动项删除
    • 重启排查
      • 入侵排查正常流程

应急背景

运维人员准备通过windows共享文档方式为公司员工下发软件安装,开启完后忘记关闭了,而且其他人可以对共享文件夹下的文件进行删除替换修改,有恶搞的人就通过共享文件夹的方式,捆绑了病毒在一些文件中,导致公司员工下载安装的时候中了病毒。
症状如下图,右键盘符出现Auto
在这里插入图片描述
上网查发现是auto病毒,首要特征就是盘符下存在autorun.inf文件,待会分析就会发现这个文件,而且每次双击盘符都会根据autorun.inf文件重新运行文件中指定的程序文件,也就是说会重新感染一次病毒。

分析样本

在共享文件夹中拿到样本后先丢到虚拟机对样本进行行为监控,看下一具体做了什么手脚。
监控工具使用D盾
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott


开启监控

D盾可以打开文件监控,主要看病毒做了什么,重点看创建了什么文件
在这里插入图片描述
就这就可以启动监控了
在这里插入图片描述

感染病毒

把病毒样本丢进虚拟机,记得把虚拟机网卡模式设置成仅主机模式,避免有的病毒把物理机也感染了。
在这里插入图片描述

查看监控

双击后很明显看到有两个诡异的文件被创建了

线索卡:
1.c:\\autorun.inf
2.c:\\system32\dllh0st.exe

在这里插入图片描述

分析病毒行为

1.autorun.inf分析

首先查看一下autorun.inf文件,右键打开盘符,这里也可以看到确实是已经感染了病毒了
在这里插入图片描述
c盘没看到就知道肯定是做了文件隐藏了,只能上工具了
由于本次实验使用的是WinServer2003,能够使用XueTr,在分析查杀过程就直接上XueTr了。
XueTr工具下载地址:
https://pan.baidu.com/s/1ZT-80vNkQs6gWOuvLAxTcg?pwd=d55s
在这里插入图片描述
我们选择将文件拷贝出来
在这里插入图片描述
查看文件内容,我们要知道autorun.inf的作用是:允许在双击磁盘时自动运行指定的某个文件 ,那也就是说双击盘符就会再次感染病毒,可以看到这个文件是在C:\\Windows\System32文件夹下,那就印证了我们d盾监测到的行为,确实没错。
在这里插入图片描述
但是这里是DLLHOST.exe,不是d盾中写的dllh0st.exe,具体原因不知道,但是还是以DLLHOST.exe为准,因为是病毒对应的文件。
修改线索卡↓

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe

2.异常连接

没有发现对外连接的异常
在这里插入图片描述

3.进程排查

打开进程管理查看,有大写的DLLHOST,这个已经确认了是病毒了,但是小写的dllhost进程我们也不打包票是正常,但网上也能查到这个文件是系统原本就有的,所以就先关注大写的进程。
在这里插入图片描述
查看一下进程对应服务,没有发现异常服务,就只有一个进程运行

tasklist /svc | findstr "4036"

在这里插入图片描述
那么就上工具进行分析了

查看进程模块就确认了确实是病毒,只有一个异常进程模块。
在这里插入图片描述
后面就继续看另外的dllhost,也没有发现异常
然后这里是要跟进进程文件的,或者看进程对应的文件路径,这里忘记截图了,显示的是DLLHOST.exe。

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe

4.启动项排查

xuetr打开启动项就看到病毒创建的启动项了
在这里插入图片描述
打开注册表查看,同样发现有写入注册表

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe
3.启动项
4.注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

在这里插入图片描述

查杀

分析完毕,根据拿到的线索开始查杀

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe
3.启动项
4.注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

1.先删掉autorun.inf文件

打开盘符记得使用右键,然后打开,不要直接双击,否则会再次感染一遍
在这里插入图片描述
没有发现文件,之前分析的时候也说了,文件被隐藏了,只能用xuetr工具进行删除
在这里插入图片描述
像病毒相关的这种文件,最好先勾选删除文件且阻止再生->然后再次右键强制删除
在这里插入图片描述

2.使用xuetr杀掉进程

这里我观察到他是删掉我dllhost文件夹下的DLLHOST.exe,也就是他进程使用的是我复制进来的病毒源,所以第一次的进程运行起来就是我的病毒源,xuetr根据进程删除的文件就不是system32那个文件夹下的文件删除掉,这里简单分析一下可以知道是掩耳盗铃,我们重启后就会自动找到system32那个文件,因为进程重启后会重新运行,启动项对应的DLLHOST都是对应着system32那个文件夹下的程序文件。
在这里插入图片描述
所以我们要去c:\\system32\DLLHOST.exe下进行删除,但是这个进程对应的文件是DLLHOST.exe,文件也是被隐藏了的,所以还是要用专业工具进行删除
在这里插入图片描述

3.启动项删除

先定位到注册表
在这里插入图片描述
因为不知道load时不时系统自带的目录项,所以这里最好是删掉值即可
在这里插入图片描述
在这里插入图片描述
接着回到启动项查看,发现已经不见了,如果还在DLLHOST的话就需要删除。
在这里插入图片描述

重启排查

现在打开盘符已经没有auto了,可以正常双击盘符进入
在这里插入图片描述

入侵排查正常流程

首先对之前病毒操作了的行为进行再次排查

  • 进程无异常(DLLHOST)
    在这里插入图片描述

  • c:\\Windows\System\DLLHOST.exe不存在
    在这里插入图片描述

  • 启动项,正常(注册表正常)


接着其他的入侵排查了

  • 异常连接(netstat -ano)
  • 账户排查(net user)
    直接用d盾看了,这里还可以去注册表看有没有隐藏账户
    在这里插入图片描述
  • 服务排查
  • 定时任务

应急完成,本次算是对病毒应急的一次小小的了解,auto病毒也很久了,主要是通过u盘传播,因为有的人他会插上u盘后就双击打开,那么这时候就会感染上病毒了,所以通过本次实验要提高警戒,u盘平时最好还是右键打开的方式进入比较安全。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/439570.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

保险丝基础知识

一、简介 保险丝(fuse)也被称为电流保险丝,它能够在电流异常升高到一定的高度和热度时,自动熔断切断电流,从而保护电路安全运行。 IEC127标准将它定义为“熔断体(fuse-link)”。熔断体是由电阻率比较大而熔…

强化学习笔记之【Q-learning算法和DQN算法】

强化学习笔记(一)——Q-learning和DQN算法核心公式 文章目录 强化学习笔记(一)——Q-learning和DQN算法核心公式前言:Q-learning算法DQN算法 前言: 强化学习领域,繁冗复杂的大段代码里面&#…

《软件工程概论》作业一:新冠疫情下软件产品设计

课程说明:《软件工程概论》为浙江科技学院2018级软件工程专业在大二下学期开设的必修课。课程使用《软件工程导论(第6版)》(张海藩等编著,清华大学出版社)作为教材。以《软件设计文档国家标准GBT8567-2006》…

【小沐学GIS】blender导入OpenTopography地形数据(BlenderGIS、OSM、Python)

文章目录 1、简介1.1 blender1.2 OpenStreetMap地图 2、BlenderGIS2.1 下载BlenderGIS2.2 安装BlenderGIS2.3 申请opentopography的key2.4 抓取卫星地图2.5 生成高度图2.6 获取OSM数据 结语 1、简介 1.1 blender https://www.blender.org/ Blender 是一款免费的开源 3D 创作套…

IMS添加实体按键流程 - Android14

IMS添加实体按键流程 - Android14 1、实体按键信息(Mi 9 左侧实体按键)2、硬件添加2.1 内核添加设备节点2.2 Generic.kl映射文件2.3 映射文件文件加载loadKeyMapLocked2.4 addDeviceLocked 添加设备相关对象 3、keycode对应scankode4、KeyEvent.java 添加…

【星汇极客】手把手教学STM32 HAL库+FreeRTOS之创建工程(0)

前言 本人是一名嵌入式学习者,在大学期间也参加了不少的竞赛并获奖,包括但不限于:江苏省电子设计竞赛省一、睿抗机器人国二、中国高校智能机器人国二、嵌入式设计竞赛国三、光电设计竞赛国三、节能减排竞赛国三。 后面会经常写一下博客&…

服务器conda环境安装rpy2

参考博客 https://stackoverflow.com/questions/68936589/how-to-select-r-installation-when-using-rpy2-on-conda 现在我遇到这样一个问题,服务器系统环境没有R(没有权限安装),我只能在minconda的conda环境中使用R, 使用方法如下 我现在…

(11)MATLAB莱斯(Rician)衰落信道仿真2

文章目录 前言一、莱斯衰落信道仿真模型二、仿真代码与结果1.仿真代码2.仿真结果画图 三、后续:四、参考文献: 前言 首先给出莱斯衰落信道仿真模型,该模型由直射路径分量和反射路径分量组成,其中反射路径分量由瑞利衰落信道模型构…

Art. 1 | 信号、信息与消息的区别及其在通信中的应用

信号、信息与消息的区别及其在通信中的应用 通信技术是现代社会的基石,其广泛应用于日常生活的各个方面。从手机、互联网到企业信息管理,通信系统无处不在。在这一技术领域中,信号、信息和消息是三大基础概念,支撑着整个通信系统…

云计算Openstack Glance

OpenStack Glance(或称为Glance,但通常OpenStack官方文档中使用的是“Glance”作为项目代号)是OpenStack的镜像服务组件,为创建虚拟机提供镜像服务。以下是对OpenStack Glance的详细解析: 一、基本功能 Glance主要提…

【AI人工智能】文心智能体,双人冒险游戏智能体创作分享

背景 最近半年,“AI agent”(智能体)这一词汇变得非常热门。许多人以为创建自己的智能体会很复杂,实际上,现有的平台已经大大降低了操作门槛。只要有创意,几乎每个人都可以轻松创建属于自己的智能体。今天…

Linux下静态库与动态库制作及分文件编程

Linux下静态库与动态库制作及分文件编程 文章目录 Linux下静态库与动态库制作及分文件编程1.分文件编程1.1优点1.2操作逻辑1.3示例 2.Linux库的概念3.静态库的制作与使用3.1优缺点3.2命名规则3.3制作步骤3.4开始享用 4.动态库的制作与使用4.1优缺点4.2动态库命名规则4.3制作步骤…

Uniapp API

1.uni.showToast 显示消息提示框 unishowToast({ obj参数 }) 2.uni.showLoading 显示 loading 提示框, 需主动调用 uni.hideLoading 才能关闭提示框。 3.uni.showModal 显示模态弹窗,可以只有一个确定按钮,也可以同时有确定和取消按钮。类似于一个A…

VLAN:虚拟局域网

VLAN:虚拟局域网 交换机和路由器协同工作后,将原先的一个广播域,逻辑上,切分为多个广播域。 第一步:创建VLAN [SW1]dispaly vlan 查询vlan VID(VLAN ID):用来区分和标定不同的vlan 由12位二进制构成 范围: 0-4…

算法笔记(十一)——优先级队列(堆)

文章目录 最后一块石头的重量数据流中的第 K 大元素前K个高频单词数据流的中位数 优先级队列是一种特殊的队列,元素按照优先级从高到低(或从低到高)排列,高优先级的元素先出队,可以用 堆来实现 堆是一种二叉树的结构&…

HTB:Preignition[WriteUP]

连接至HTB服务器并启动靶机 靶机IP:10.129.157.49 分配IP:10.10.16.12 1.Directory Brute-forcing is a technique used to check a lot of paths on a web server to find hidden pages. Which is another name for this? (i) Local File Inclusion, (…

如何安全地大规模部署 GenAI 应用程序

大型语言模型和其他形式的生成式人工智能(GenAI) 的广泛使用带来了许多组织可能没有意识到的安全风险。幸运的是,网络和安全提供商正在寻找方法来应对这些前所未有的威胁。 随着人工智能越来越深入地融入日常业务流程,它面临着泄露专有信息、提供错误答…

2.创建第一个MySQL存储过程(2/10)

引言 在现代数据库管理中,存储过程扮演着至关重要的角色。它们是一组为了执行特定任务而编写的SQL语句集合,这些语句被保存在数据库中,并且可以被多次调用执行。存储过程不仅可以提高数据库操作的效率,还能增强数据的安全性和一致…

Docker 启动 Neo4j:详细配置指南和浏览器访问

Docker 启动 Neo4j:详细配置指南和浏览器访问 文章目录 Docker 启动 Neo4j:详细配置指南和浏览器访问一 Neo4j compose 得 yml 配置二 配置描述三 浏览器访问 这篇文章详细介绍了如何使用 Docker Compose 启动 Neo4j 数据库,包括 docker-com…

八大排序--01冒泡排序

假设有一组数据 arr[]{2,0,3,4,5,7} 方法:开辟两个指针,指向如图,前后两两进行比较,大数据向后冒泡传递,小数据换到前面。 一次冒泡后,数组中最大…