飞客蠕虫病毒？分析、定位、处理

飞客蠕虫病毒？分析、定位、处理

******往期经典
网络安全：
1、HCIE-Security心得
2、华为交换机抓包上传至PC分析
3、ARP Miss攻击处置
4、ARP网关欺骗攻击处置
5、基于wireshark快速定位内网DHCP Server仿冒攻击
6、wireshark过滤使用及常见网络攻击检测过滤
渗透测试：
1、基于brupsuite的web弱口令扫描
2、渗透测试/应急演练过程中metasploit制作木马连接失败问题排查
3、DVWA搭建中遇到的无法连接数据库问题及处理
企业安全：
1、企业网络信息安全意识宣贯——屏保制作
2、记一次勒索病毒攻击事件的处理过程
3、网络信息安全意识宣贯屏保CSDN.pptx
4、网络信息安全意识宣贯屏保CSDN.scr
安全合规：
1、信息安全技术-网络安全等级保护三级测评要求.xlsx
安全事件处置及应急管理：
1、linux抓取僵尸网络进程脚本
2、windows一键关闭高危端口
3、自动关闭高危端口脚本
4、windows server进程内存占用及CPU使用率自动监控并记录脚本
5、网络信息安全应急演练方案 .docx
6、网络信息安全应急演练报告 .docx
7、飞客蠕虫病毒？分析、定位、处理
主机安全：
1、linux抓取僵尸网络进程脚本

---

一、防火墙发现告警
近期同一部门两个同事的电脑都有该告警。目的ip：104.18.120.91、104.18.119.91。虽然该部门不能上外网，出于严谨还是决定一探究竟。
初步分析：
百度查询该ip信息得知为美国ip，53端口为dns服务器所开放，主要用于域名解析。应该是某进程访问某一网址去该目的ip请求域名解析。
微步在线先看下该ip情况：
未发现目的有异常。
全盘杀毒，未果。
二、定位
python脚本抓一下哪个进程访问的该ip。

#encoding:utf-8
import os
import sys
import time
import subprocess
print(u'捕获开始')
ip = input("请输入僵尸网络IP: ")
while True:
    p = subprocess.run('netstat -ano | findstr " "' + str(ip),shell=True,stdout=subprocess.PIPE, stderr=subprocess.STDOUT)
    if p.returncode==0:
        print("----std-out------",p.stdout)
        astr = p.stdout.split()
        print("--len--",type(astr),len(astr))
        pid = astr[4]
        print("---pid----",pid)
        pid = str(int(pid))
        ama = 'tasklist | findstr " "' + str(int(pid))
        q = subprocess.run(ama, shell=True, stdout=subprocess.PIPE,stderr=subprocess.STDOUT)  # 取alist第五个字段为pid
        if q.returncode == 0:
            print("----stdout------", q.stdout)
            blist = q.stdout.split()
            process = blist[0]
            process = process.decode()
            process = str(process)
            print('---process处理完成----', process)
            r = subprocess.run('wmic process where processid=%d'%(int(pid)),shell=True,stdout=subprocess.PIPE, stderr=subprocess.STDOUT)
            if r.returncode==0:
                path = str(r.stdout)
                print("----stdout------", path)
                # 写入log文件中进行记录
                f = open('D:/test.txt', 'a')
                f.write(time.strftime('%Y-%m-%d %H:%M:%S',time.localtime(time.time())) + "   可疑进程: " + process + "  访问ip: " + ip + "\n")
                f.write("进程信息:" + str(r.stdout) + "\n")
                f.close()
                time.sleep(5)
                sys.exit()
            elif r.returncode != 0:
                print("--wmic--wmic执行异常,正在重试---")
                time.sleep(2)
                break
        elif q.returncode != 0:
            print("--tasklist--未发现进程,正在重试---")
            time.sleep(2)
            break
    elif p.returncode!=0:
        print("---netstat---未发现PID，正在重试")
        time.sleep(1)
        continue

运行两天得到结果：先联系联想问一下什么情况：

最后给出结果是lenovovantage的后台程序，服务器在国外，会访问国外服务器，说是不影响使用，卸载了也没关系。应该是误报。呵呵…
先通知用户做卸载处理吧。安抚一下用户受惊的心情。

还是不甘心。。。拿到Lenovo.Modern.ImController.PluginHost.Device
.exe
决定自己用IDA看看到底访问的哪个服务器。

对，就是这个女人
未完待续。。。