事件
今天打开电脑发现电脑启动时间比较卡,怀疑是中病毒了,使用火绒扫描了一下发现有两个木马释放器。
溯源
查看了一下发现是昨天做测试的时候点了个网站,这种木马的传输方式一般通过html文件传播,可能是点的网站被感染了,存在于微软浏览器的缓存中,放到虚拟机里面溯源。
木马来源
查看属性找到创建时间,到浏览器中看浏览记录。
发现网站http://221.1.97.166:7777/index.html存在木马。
用virustotal,居然没有发现,就离谱。
木马执行过程
使用沙箱运行木马判断运行过程,使用大圣云沙箱进行执行。
可以看到木马完整的执行过程,有做分析的小伙伴可以去分析下木马样本。
防范方法
1.不要乱点一些url,说不定就有木马。
2.感觉电脑出现一些不寻常操作,使用软件进行杀毒。
3.定期杀毒。