如何跟踪病毒自动安装的行为？

seebook

我是公司网管
今天有同事在skype上被冒充分公司领导的用户发送了exe文件
因为是被邀请加入聊天组（名字叫临时群）的方式，很容易中招

但这个exe，我在虚拟机里研究，他不被win10杀毒软件警报，也不被最新的火绒警报
双击后没有立刻跳出UAC，而似乎是解压了一些文件到C:\Users\Public\AppUpdate 目录
等解压完成后（只有任务栏1秒，名字看不全，没有闪窗），后跳出黄色UAC，执行innoextract.exe，如果选是，没有任何反应，杀毒软件也无反应
所以这个到底是什么东西？
怎么跟踪他的行为？

董卓

看上去很标准的脚本组成
说不定释放目录下面都会有日志

seebook

董卓 发表于 2022-2-24 11:51
看上去很标准的脚本组成
说不定释放目录下面都会有日志

没有日志啊，运行完了目录里还是这样，我在cmd里运行也没痕迹
或者有没有监控文件写入行为的软件？

322：里面是乱码5D-]柷?蕹?-u)錔\"?r$?A涿

task.dat：里面是
[INSTALL]
TaskName=BootupHelper
CallName=
Path=C:\Users\Public\AppUpdate\innoextract.exe

macos

正经人谁写日志，procmon能记录所有事件

bbn

魔盾

https://www.maldun.com/analysis/

微步在线

https://s.threatbook.cn/

Any Run

https://app.any.run/

HyBrid

https://www.hybrid-analysis.com/

几年没用过了，不知道还能不能用。

seebook

上传了一个样本

链接：https://pan.baidu.com/s/1Ai-58NBcp6qOEVjIuYJDDw
提取码：v8vt

seebook

bbn 发表于 2022-2-24 12:09
魔盾

https://www.maldun.com/analysis/

可以用，我下载个GDATA 试试看

seebook

https://s.threatbook.cn/report/f ... p1_enx64_office2013

现在病毒很智能啊
在虚拟机里不会生成c:\users\public\98 这个文件
但如果是实体机就有这个文件

高危行为（3）
反检测技术
通过鼠标光标的移动特征来判断是否在沙箱中
查询系统硬盘大小，某些恶意程序会根据硬盘大小来判定是否运行在虚拟机中
检查适配器地址，可用于检测虚拟网络接口

猫熊爱

作为网管，找个干净的独立硬盘装个系统陪病毒玩呗……这和虚拟机一样

猫熊爱

作为网管，找个干净的独立硬盘装个系统陪病毒玩呗……这和虚拟机一样

perfaceNext

seebook 发表于 2022-2-24 13:46
https://s.threatbook.cn/report/f ... p1_enx64_office2013

现在病毒很智能啊

厉害了啊，这个病毒都狠啊

ls2021

现在的虚拟机检测技术很成熟了
比较高级的办法是通过CPU内部的一些高精度计时器来检测，这个如果虚拟机监控程序不做一些额外的处理的话，计时器会比同型号的物理机CPU慢很多
还有就是很简单的检测虚拟机才有的硬件，比如硬件信息中字符串里有VMWare、Red Hat、virtual之类的单词的。这个反制的办法是VirtualBox或者Linux的libvirt改硬件名称
很多地方都可以检测，包括常见的沙盒/HIPS，现在都有很多办法检测
说个题外话，我发现sandboxie可以拦下来腾讯的驱动，腾讯的软件可以继续运行，一点问题都没有。但是米哈游对虚拟机和沙盒的检测非常严格，必须得正确加载了驱动才可以运行游戏

seebook

该用户不存在 发表于 2022-2-24 17:39
可以去吾爱、雪X论坛求救，那里安全人士云集

数码区搞安全的不多吧

已经准备重装了，
10年没碰到过病毒了

中毒了再杀毒感觉意义不大了，木马这种没有症状的东西杀不干净，杀毒还是预防为主，格式化最保险