自己动手搭建恶意软件样本行为分析环境（二）

 

样本分析实例
样本是一个伪装成wmv媒体文件的可执行文件，如图：

它使用了wmv文件的图标，由于Windows默认不显示已知文件的扩展名，因此目标样本的真实名字是WR.wmv.exe。
分析流程：
1）测试环境做一个恢复用的快照(Snapshot)，使用体机的测试环境可以用Ghost来达到相同目的。
2）依次启动InstallRite和ProcessMonitor，先给ProcessMonitor做Filter配置：

配置时用exclude方式将与目标样本无关的程序如csrss.exe、installrite.exe等程序对注册表的操作过滤，只留下explorer.exe、services.exe、svchost.exe等目标样本可能使用到的程序。
使用InstallRite对系统状态做一个快照：

注：在使用InstallRite做快照的时候可以先把ProcessMonitor的监视暂停。
3）运行目标样本
4）ProcessMonitor的监视显示目标样本运行时启动了Iexplore.exe和svchost.exe：

用InstallRite对目标样本执行前后的系统状态进行对比，在InstallRite的界面选ReviewInstallation查看对比的结果：
新增的文件：

新增的注册表项：

删除的文件：

目标样本在C:/programfiles/CommonFiles/MicrosoftShared/Msinfo路径下新建了2个文件，paramstr.txt和svchost.exe，并添加了一个叫做Svchost的服务。完成这两个操作之后，目标样本把自身删除。

5）使用Gmer和ProcessExplorer检查系统发生的改变：

从ProcessExplorer和Gmer的显示结果可知，目标样本启动了一个隐藏的Iexplore.exe进程。
6）使用TCPView查看网络连接

可以看见目标样本启动的Iexplore.exe进程连接的是
186.119.232.72.reverse.layeredtech.com的http(80)端口。
7）使用Ethereal抓包检查网络连接的数据

Ethereal五分钟的抓包结果显示，目标样本会通过DNS服务器查询(www.ifrstats.com)的IP地址,并每隔30秒向其发送TCP包，包的长度为0，具体含义未知。
8)分析和文档
综合以上工具的监视结果，我们可以总结出样本的性质，目标样本为一个服务安装启动方式的木马程序，会使用进程注入技术（注入Iexplore.exe）穿透防火墙的网络连接控制，并带简单的Rootkit功能（隐藏其启动的iexplore.exe进程）
目标样本分析结果整理后，记录如下：

样本分析结果记录表                样本编号:TR061125A2

项目	属性	详细描述	备注
自删除	是
进程注入	是	注入到C:/program files/Internet Explorer/iexplore.exe	Iexplore.exe为隐藏进程，使用Gmer检查。
安装路径		路径：C:/program files/common files/microsoft shared/MSInfo/ svchost.exe Paramstr.txt
注册表		//LMHK/SYSTEM/CurrentControlSet/Services/ 新增svchost
启动方式	服务启动	系统增加以svchost命名的服务
网络连接	TCP	186.119.232.72.reverse.layeredtech.com 72.232.119.186 www.ifrstats.com (DNS)	网络连接内容未知。

根据检查结果登记表，就可以对该目标样本感染过的计算机进行有针对性的清理，更进一步的可以编写专杀程序，或者将检查的结果提交应急响应机构，不过这就不是本文要讨论的内容了。