樣本分析實例
樣本是一個偽裝成wmv媒體文件的可執(zhí)行文件,如圖:
它使用了wmv文件的圖標(biāo),由于Windows默認(rèn)不顯示已知文件的擴展名,因此目標(biāo)樣本的真實名字是WR.wmv.exe。
分析流程:
1)測試環(huán)境做一個恢復(fù)用的快照(Snapshot),使用體機的測試環(huán)境可以用Ghost來達(dá)到相同目的。
2)依次啟動InstallRite和ProcessMonitor,先給ProcessMonitor做Filter配置:
配置時用exclude方式將與目標(biāo)樣本無關(guān)的程序如csrss.exe、installrite.exe等程序?qū)ψ员淼牟僮鬟^濾,只留下explorer.exe、services.exe、svchost.exe等目標(biāo)樣本可能使用到的程序。
使用InstallRite對系統(tǒng)狀態(tài)做一個快照:
注:在使用InstallRite做快照的時候可以先把ProcessMonitor的監(jiān)視暫停。
3)運行目標(biāo)樣本
4)ProcessMonitor的監(jiān)視顯示目標(biāo)樣本運行時啟動了Iexplore.exe和svchost.exe:
用InstallRite對目標(biāo)樣本執(zhí)行前后的系統(tǒng)狀態(tài)進行對比,在InstallRite的界面選ReviewInstallation查看對比的結(jié)果:
新增的文件:
新增的注冊表項:
刪除的文件:
目標(biāo)樣本在C:\programfiles\CommonFiles\MicrosoftShared\Msinfo路徑下新建了2個文件,paramstr.txt和svchost.exe,并添加了一個叫做Svchost的服務(wù)。完成這兩個操作之后,目標(biāo)樣本把自身刪除。
