Windows应急响应-Auto病毒

news2024/11/26 0:58:07

文章目录

  • 应急背景
  • 分析样本
    • 开启监控
    • 感染病毒
    • 查看监控
    • 分析病毒行为
      • 1.autorun.inf分析
      • 2.异常连接
      • 3.进程排查
      • 4.启动项排查
  • 查杀
    • 1.先删掉autorun.inf文件
    • 2.使用xuetr杀掉进程
    • 3.启动项删除
    • 重启排查
      • 入侵排查正常流程

应急背景

运维人员准备通过windows共享文档方式为公司员工下发软件安装,开启完后忘记关闭了,而且其他人可以对共享文件夹下的文件进行删除替换修改,有恶搞的人就通过共享文件夹的方式,捆绑了病毒在一些文件中,导致公司员工下载安装的时候中了病毒。
症状如下图,右键盘符出现Auto
在这里插入图片描述
上网查发现是auto病毒,首要特征就是盘符下存在autorun.inf文件,待会分析就会发现这个文件,而且每次双击盘符都会根据autorun.inf文件重新运行文件中指定的程序文件,也就是说会重新感染一次病毒。

分析样本

在共享文件夹中拿到样本后先丢到虚拟机对样本进行行为监控,看下一具体做了什么手脚。
监控工具使用D盾
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott


开启监控

D盾可以打开文件监控,主要看病毒做了什么,重点看创建了什么文件
在这里插入图片描述
就这就可以启动监控了
在这里插入图片描述

感染病毒

把病毒样本丢进虚拟机,记得把虚拟机网卡模式设置成仅主机模式,避免有的病毒把物理机也感染了。
在这里插入图片描述

查看监控

双击后很明显看到有两个诡异的文件被创建了

线索卡:
1.c:\\autorun.inf
2.c:\\system32\dllh0st.exe

在这里插入图片描述

分析病毒行为

1.autorun.inf分析

首先查看一下autorun.inf文件,右键打开盘符,这里也可以看到确实是已经感染了病毒了
在这里插入图片描述
c盘没看到就知道肯定是做了文件隐藏了,只能上工具了
由于本次实验使用的是WinServer2003,能够使用XueTr,在分析查杀过程就直接上XueTr了。
XueTr工具下载地址:
https://pan.baidu.com/s/1ZT-80vNkQs6gWOuvLAxTcg?pwd=d55s
在这里插入图片描述
我们选择将文件拷贝出来
在这里插入图片描述
查看文件内容,我们要知道autorun.inf的作用是:允许在双击磁盘时自动运行指定的某个文件 ,那也就是说双击盘符就会再次感染病毒,可以看到这个文件是在C:\\Windows\System32文件夹下,那就印证了我们d盾监测到的行为,确实没错。
在这里插入图片描述
但是这里是DLLHOST.exe,不是d盾中写的dllh0st.exe,具体原因不知道,但是还是以DLLHOST.exe为准,因为是病毒对应的文件。
修改线索卡↓

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe

2.异常连接

没有发现对外连接的异常
在这里插入图片描述

3.进程排查

打开进程管理查看,有大写的DLLHOST,这个已经确认了是病毒了,但是小写的dllhost进程我们也不打包票是正常,但网上也能查到这个文件是系统原本就有的,所以就先关注大写的进程。
在这里插入图片描述
查看一下进程对应服务,没有发现异常服务,就只有一个进程运行

tasklist /svc | findstr "4036"

在这里插入图片描述
那么就上工具进行分析了

查看进程模块就确认了确实是病毒,只有一个异常进程模块。
在这里插入图片描述
后面就继续看另外的dllhost,也没有发现异常
然后这里是要跟进进程文件的,或者看进程对应的文件路径,这里忘记截图了,显示的是DLLHOST.exe。

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe

4.启动项排查

xuetr打开启动项就看到病毒创建的启动项了
在这里插入图片描述
打开注册表查看,同样发现有写入注册表

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe
3.启动项
4.注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

在这里插入图片描述

查杀

分析完毕,根据拿到的线索开始查杀

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe
3.启动项
4.注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

1.先删掉autorun.inf文件

打开盘符记得使用右键,然后打开,不要直接双击,否则会再次感染一遍
在这里插入图片描述
没有发现文件,之前分析的时候也说了,文件被隐藏了,只能用xuetr工具进行删除
在这里插入图片描述
像病毒相关的这种文件,最好先勾选删除文件且阻止再生->然后再次右键强制删除
在这里插入图片描述

2.使用xuetr杀掉进程

这里我观察到他是删掉我dllhost文件夹下的DLLHOST.exe,也就是他进程使用的是我复制进来的病毒源,所以第一次的进程运行起来就是我的病毒源,xuetr根据进程删除的文件就不是system32那个文件夹下的文件删除掉,这里简单分析一下可以知道是掩耳盗铃,我们重启后就会自动找到system32那个文件,因为进程重启后会重新运行,启动项对应的DLLHOST都是对应着system32那个文件夹下的程序文件。
在这里插入图片描述
所以我们要去c:\\system32\DLLHOST.exe下进行删除,但是这个进程对应的文件是DLLHOST.exe,文件也是被隐藏了的,所以还是要用专业工具进行删除
在这里插入图片描述

3.启动项删除

先定位到注册表
在这里插入图片描述
因为不知道load时不时系统自带的目录项,所以这里最好是删掉值即可
在这里插入图片描述
在这里插入图片描述
接着回到启动项查看,发现已经不见了,如果还在DLLHOST的话就需要删除。
在这里插入图片描述

重启排查

现在打开盘符已经没有auto了,可以正常双击盘符进入
在这里插入图片描述

入侵排查正常流程

首先对之前病毒操作了的行为进行再次排查

  • 进程无异常(DLLHOST)
    在这里插入图片描述

  • c:\\Windows\System\DLLHOST.exe不存在
    在这里插入图片描述

  • 启动项,正常(注册表正常)


接着其他的入侵排查了

  • 异常连接(netstat -ano)
  • 账户排查(net user)
    直接用d盾看了,这里还可以去注册表看有没有隐藏账户
    在这里插入图片描述
  • 服务排查
  • 定时任务

应急完成,本次算是对病毒应急的一次小小的了解,auto病毒也很久了,主要是通过u盘传播,因为有的人他会插上u盘后就双击打开,那么这时候就会感染上病毒了,所以通过本次实验要提高警戒,u盘平时最好还是右键打开的方式进入比较安全。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2190424.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Java】Java面试题笔试

[赠送]面试视频指导简历面试题 Java面试笔试题题库华为 java笔试面试题2014.files 就业相关java 面试题 面试题库 视频笔记 java笔试题大集合及答案 java面试书籍源码 java算法大全源码包8张图解 java.docx25个经典的Spring面试问答.docx 25个经典的Spring面试问答.docx 100家大…

知识图谱入门——10:使用 spaCy 进行命名实体识别(NER)的进阶应用:基于词袋的实体识别与知识抽取

在构建知识图谱的过程中,如何准确地识别和提取实体是关键。spaCy 提供了强大的命名实体识别(NER)功能,我们可以结合自定义规则和工具来实现更精准的实体抽取。本文将详细探讨如何在 spaCy 中实现自定义实体抽取,包括使…

OpenAI 推出 Canvas 工具,助力用户与 ChatGPT 协作写作和编程

OpenAI 近日推出了一款名为 Canvas 的新工具,旨在帮助用户更高效地与 ChatGPT 协作进行写作与编程。 Canvas 允许用户在一个独立窗口中与 ChatGPT 实时协作修改内容。无论是改进文本、调整语言风格、审查代码,还是在不同编程语言间转换,Canv…

Js逆向分析+Python爬虫结合

JS逆向分析Python爬虫结合 特别声明📢:本教程只用于教学,大家在使用爬虫过程中需要遵守相关法律法规,否则后果自负!!! 完整代码地址Github:https://github.com/ziyifast/ziyifast-co…

自闭症干预寄宿学校:为孩子搭建沟通与社交的桥梁

在探索自闭症儿童教育的广阔天地里,一所优秀的寄宿学校不仅是知识的殿堂,更是孩子们学习沟通与社交技能的桥梁。位于广州的星贝育园自闭症儿童寄宿制学校,正是这样一所专注于为自闭症儿童提供全面、个性化教育服务的机构,它以其独…

Linux-du命令使用方法

Linux-du(disk useage)命令 du 命令用于查看文件和目录占用的磁盘空间。 du [选项] [文件或目录]-h (human-readable): 将输出格式转为人类可读的形式,使用 KB、MB 等单位。 du -h /path/to/directory1.5M /path/to/directory…

Pikachu-SSRF(curl / file_get_content)

SSRF SSRF是Server-side Request Forge的缩写,中文翻译为服务端请求伪造。产生的原因是由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议等做过滤和限制。常见的一个场景就是,通过用户输入的URL来获取图片。这个功能如果被恶意使用&am…

Linux 之 安装软件、GCC编译器、Linux 操作系统基础

安装软件、GCC编译器、Linux 操作系统基础 学习任务: 安装 Vmware虚拟机、掌握Ubuntu 系统的使用认识 Ubuntu 操作系统的终端和 Shell掌握软件安装、文件系统、掌握磁盘管理与解压缩掌握 VIM 编辑器、Makefile 基本语法熟悉 Linux 常见指令操作 安装好开发软件&…

力扣189.轮转数组

给定一个整数数组 nums,将数组中的元素向右轮转 k 个位置,其中 k 是非负数。 示例 1: 输入: nums [1,2,3,4,5,6,7], k 3 输出: [5,6,7,1,2,3,4] 解释: 向右轮转 1 步: [7,1,2,3,4,5,6] 向右轮转 2 步: [6,7,1,2,3,4,5] 向右轮转 3 步: [5,6,7,1,2,3,4…

数据库(MySQL):使用命令从零开始在Navicat创建一个数据库及其数据表(一).创建基础表

一. 使用工具和命令 1.1 使用的工具 Navicat Premium 17 :“Navicat”是一套可创建多个连接的数据库管理工具。 MySQL版本8.0.39 。 1.2 使用的命令 Navicat中使用的命令 命令命令解释SHOW DATABASES;展示所有的数据库CREATE DATABASE 数据库名称; 创…

10以内数的分解

// 10以内数的分解.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 //#include <iostream> using namespace std; int main(int argc, char* argv[]){for (int i 2; i < 10; i){for (int j 1; j < i; j){printf("%d%d%d ",j…

CSS样式基础样式选择器(案例+代码实现+效果图)

目录 1.css样式的规则 2.引入css样式的方式 1)行内式 2)内嵌式 3)外链式 1-link导入 2-import导入 4)总 3.css基础选择器 1)标签选择器 案例&#xff1a;使用标签选择器编写一个圆 1.代码 2.效果 2)类选择器 案例&#xff1a;使用类选择器为div添加背景色 1.代码 2.效果 3)id…

深度探索Kali Linux的精髓与实践应用

Kali Linux简介 Kali Linux作为全球网络安全领域的首选操作系统之一&#xff0c;其强大的功能性及广泛的适用范围令人瞩目。除了上述基础介绍外&#xff0c;让我们深入探究Kali Linux的几个关键特性及其在实际操作中的具体应用案例。 Kali工具集成&#xff1a;全面的安全工具…

加湿器模块(5V STM32)

目录 一、介绍 二、模块原理 1.原理图 2.引脚描述 3.尺寸介绍 三、程序设计 main.c文件 jsq.h文件 jsq.c文件 四、实验效果 五、资料获取 项目分享 一、介绍 加湿器模块通常是指在智能家居设备中负责增加室内空气湿度的部分&#xff0c;这种模块设计旨在改善干燥环…

osg 矩阵相关

下面结果是一样的 osg::Matrix mtrixx;mtrixx.makeRotate(90 / 180.f * osg::PI, osg::Vec3(1, 0, 0));osg::Matrix mtrixx12 osg::Matrix::rotate(90 / 180.f * osg::PI, 1, 0, 0); 备注&#xff1a; rotate或makerotate第一个参数是弧度&#xff0c;可以用 弧度值osg::in…

Pre-trained Natural Language Understanding for Task-Oriented Dialogue

前言 众所周知,预训练BERT语言模型在许多NLP任务重大放异彩,用来文本内容和语义的表征学习很有效果,而且大大降低了下游任务的训练时间。但是由于普通文本和任务型对话之间的语言模式的潜在差异,使得现在的预训练语言模型在实际使用中作用不大。 至于对话领域的预训练语言…

MS-900认证:Microsoft 365 Certified: Fundamentals

一、什么是MS-900认证&#xff1f; MS900认证&#xff0c;全称是 Microsoft 365 Fundamentals&#xff0c;是微软提供的一项认证考试&#xff0c;它旨在验证考生对 Microsoft 365 服务和功能的理解&#xff0c;包括云服务概念、核心服务、安全性、合规性、隐私以及支持和定价信…

【CTF Web】Pikachu CSRF(get) Writeup(CSRF+GET请求+社会工程学)

CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”&#xff0c;在CSRF的攻击场景中攻击者会伪造一个请求&#xff08;这个请求一般是一个链接&#xff09;&#xff0c;然后欺骗目标用户进行点击&#xff0c;用户一旦点击了这个请求&#xff0c;整个攻击就完成…

IDEA的lombok插件不生效了?!!

记录一下&#xff0c;防止找不到解决方案&#xff0c;已经遇到好几次了 前面啰嗦的多&#xff0c;可以直接跳到末尾的解决方法&#xff0c;点击一下 问题现场情况 排查过程 确认引入的依赖正常 —》&#x1f197; idea 是否安装了lombok插件 --》&#x1f197; 貌似没有问题…

锐键网络文档链接

锐键网络文档 锐键网络官网锐捷网络官网首页锐捷网络-场景创新&#xff0c;驱动数字未来锐键网络锐键网络产品中心锐键网络产品中心https://www.ruijie.com.cn/cp/锐键网络交换机【锐捷交换机】以太网交换机_网络交换机-锐捷网络锐键网络无线企业无线产品|无线网络设备-无线AP-…