前兩次隨筆我介紹了手動查殺病毒的步驟,然而僅通過手動查殺根本無法仔細了解病毒樣本的行為,這次我們結合Process Monitor進行動態的行為分析。
Process Monitor
Process Monitor一款系統進程監視軟件,總體來說,Process Monitor相當於Filemon+Regmon,其中的Filemon專門用來監視系統 中的任何文件操作過程,而Regmon用來監視注冊表的讀寫操作過程。 有了Process Monitor,使用者就可以對系統中的任何文件和 注冊表操作同時進行監視和記錄,通過注冊表和文件讀寫的變化, 對於幫助診斷系統故障或是發現惡意軟件、病毒或木馬來說,非常有用。
步驟
1.首先打開Process Monitor,打開Process Tree 然后運行病毒樣本,即setup.exe程序,可發現已經檢測到該進程,如圖
可以觀察到該進程又創建了一個spoclsv.exe,且運行了三個cmd命令,這幾條命令分別是:
cmd.exe /c net share C$ /del /y //刪除C盤的網絡共享,因為我們知道該病毒會感染所有盤,而我的虛擬機中只有一個C盤,所以只刪除C盤中網絡共享
cmd.exe /c net share admin$ /del /y //刪除系統根目錄下的網絡共享
到此我們可以判斷出兩條病毒行為
①該病毒樣本運行后會創建新的進程spoclsv.exe。
②該病毒樣本會刪除C盤以及根目錄下的網絡共享。
2.接着我們使用Process Monitor 的過濾器功能對行為進行進一步分析
一般來說,對一個病毒樣本的行為檢測可分為三大類:注冊表,文件,網絡,分別對該三種方向進行分析,可具體的有條理的獲取分析結果。
首先我們來分析文件
設置過濾器,對spoclsv.exe 進行監控
我們可以發現該進程通過CreateFile在C盤根目錄下創建了setup.exe 和autorun.inf文件,說明可能是讓setup.exe自動啟動。於是我們又得到兩個病毒行為
③病毒樣本生成的spoclsv.exe程序可能會自身復制到C盤的根目錄下改名為setup.exe。
④還產生了一個autorun.inf 文件使setup.exe自啟動
3.接下來我們對注冊表進行分析
首先可以查看一下RegDeleteValue這個操作
這些刪除鍵值的操作是刪除所有殺毒軟件的自啟動項,防止病毒被查殺
接下來設置過濾條件為RegCreateKey與RegSetValue,如圖
上圖在注冊表自啟動鍵里面添加了新的鍵值,即svcshare,所以每次啟動計算機時,spoclsv.exe都會自啟動,進行病毒行為
上述操作指的是將文件設置為隱藏屬性,無法被找到,即將Check Value的值設為0,於是我們可以推斷出該病毒可能會將后生成的setup.exe和autorn.inf文件設置為隱藏屬性,無法顯示,經過上次手動查殺驗證,的確如此
病毒行為:
⑦刪除安全類軟件在注冊表中的啟動項。
⑧在注冊表HKCU\Software\Microsoft\Windows\CurrentVersion\Run中創建svcshare,用於在開機時啟動位於“C:\WINDOWS\system32\drivers\spoclsv.exe”的病毒程序。
⑨將spoclsv.exe生成的文件設置為隱藏屬性,不被計算機用戶發現。
最后,我們來分析網絡行為
可以發現,該程序不斷的想172.16.11.xx這個局域網進行嘗試連接,可能意圖是感染該局域網內的其他計算機。
整個熊貓燒香病毒的行為分析的流程已經完畢,我們可以發現,通過行為分析獲得的病毒行為特征比手動查殺要豐富的多,這啟示我們在對一個樣本進行分析時,要多方面結合進行分析,不能片面,病毒分析是一個緩慢而有趣的事情,當然要進一步了解樣本的話,還需要更高的逆向分析技術,本小白爭取下一周進行完整的逆向分析。