找回密码
 立即注册
搜索
查看: 1841|回复: 13

[软件] 如何跟踪病毒自动安装的行为?

[复制链接]
     
发表于 2022-2-24 11:41 | 显示全部楼层 |阅读模式
我是公司网管
今天有同事在skype上被冒充分公司领导的用户发送了exe文件
因为是被邀请加入聊天组(名字叫临时群)的方式,很容易中招

但这个exe,我在虚拟机里研究,他不被win10杀毒软件警报,也不被最新的火绒警报
双击后没有立刻跳出UAC,而似乎是解压了一些文件到C:\Users\Public\AppUpdate 目录
等解压完成后(只有任务栏1秒,名字看不全,没有闪窗),后跳出黄色UAC,执行innoextract.exe,如果选是,没有任何反应,杀毒软件也无反应
所以这个到底是什么东西?
怎么跟踪他的行为?

屏幕截图 2022-02-24 110531.jpg

回复

使用道具 举报

     
发表于 2022-2-24 11:51 | 显示全部楼层
看上去很标准的脚本组成
说不定释放目录下面都会有日志
回复

使用道具 举报

     
 楼主| 发表于 2022-2-24 11:54 | 显示全部楼层
本帖最后由 seebook 于 2022-2-24 11:56 编辑
董卓 发表于 2022-2-24 11:51
看上去很标准的脚本组成
说不定释放目录下面都会有日志

没有日志啊,运行完了目录里还是这样,我在cmd里运行也没痕迹
或者有没有监控文件写入行为的软件?

322:里面是乱码5D-]柷?蕹?-u)錔\"?r$?A涿

task.dat:里面是
[INSTALL]
TaskName=BootupHelper
CallName=
Path=C:\Users\Public\AppUpdate\innoextract.exe



回复

使用道具 举报

头像被屏蔽
发表于 2022-2-24 11:58 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

发表于 2022-2-24 12:09 来自手机 | 显示全部楼层
本帖最后由 bbn 于 2022-2-24 12:17 编辑

魔盾

https://www.maldun.com/analysis/

微步在线

https://s.threatbook.cn/

Any Run

https://app.any.run/

HyBrid

https://www.hybrid-analysis.com/

几年没用过了,不知道还能不能用。

评分

参与人数 1战斗力 +1 收起 理由
seebook + 1 好评加鹅

查看全部评分

回复

使用道具 举报

     
 楼主| 发表于 2022-2-24 12:10 | 显示全部楼层
上传了一个样本

链接:https://pan.baidu.com/s/1Ai-58NBcp6qOEVjIuYJDDw
提取码:v8vt
回复

使用道具 举报

     
 楼主| 发表于 2022-2-24 12:45 | 显示全部楼层
bbn 发表于 2022-2-24 12:09
魔盾

https://www.maldun.com/analysis/

image.png

可以用,我下载个GDATA 试试看
回复

使用道具 举报

     
 楼主| 发表于 2022-2-24 13:46 | 显示全部楼层
本帖最后由 seebook 于 2022-2-24 15:02 编辑

https://s.threatbook.cn/report/f ... p1_enx64_office2013

现在病毒很智能啊
在虚拟机里不会生成c:\users\public\98 这个文件
但如果是实体机就有这个文件

高危行为(3)
反检测技术
通过鼠标光标的移动特征来判断是否在沙箱中
查询系统硬盘大小,某些恶意程序会根据硬盘大小来判定是否运行在虚拟机中
检查适配器地址,可用于检测虚拟网络接口
回复

使用道具 举报

     
发表于 2022-2-24 14:12 | 显示全部楼层
作为网管,找个干净的独立硬盘装个系统陪病毒玩呗……这和虚拟机一样
回复

使用道具 举报

     
发表于 2022-2-24 14:12 | 显示全部楼层
作为网管,找个干净的独立硬盘装个系统陪病毒玩呗……这和虚拟机一样
回复

使用道具 举报

发表于 2022-2-24 15:47 | 显示全部楼层
seebook 发表于 2022-2-24 13:46
https://s.threatbook.cn/report/f ... p1_enx64_office2013

现在病毒很智能啊

厉害了啊,这个病毒都狠啊
回复

使用道具 举报

     
发表于 2022-2-24 17:03 | 显示全部楼层
现在的虚拟机检测技术很成熟了
比较高级的办法是通过CPU内部的一些高精度计时器来检测,这个如果虚拟机监控程序不做一些额外的处理的话,计时器会比同型号的物理机CPU慢很多
还有就是很简单的检测虚拟机才有的硬件,比如硬件信息中字符串里有VMWare、Red Hat、virtual之类的单词的。这个反制的办法是VirtualBox或者Linux的libvirt改硬件名称
很多地方都可以检测,包括常见的沙盒/HIPS,现在都有很多办法检测
说个题外话,我发现sandboxie可以拦下来腾讯的驱动,腾讯的软件可以继续运行,一点问题都没有。但是米哈游对虚拟机和沙盒的检测非常严格,必须得正确加载了驱动才可以运行游戏
回复

使用道具 举报

头像被屏蔽
     
发表于 2022-2-24 17:39 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
 楼主| 发表于 2022-2-24 17:49 | 显示全部楼层
该用户不存在 发表于 2022-2-24 17:39
可以去吾爱、雪X论坛求救,那里安全人士云集

数码区搞安全的不多吧

已经准备重装了,
10年没碰到过病毒了

中毒了再杀毒感觉意义不大了,木马这种没有症状的东西杀不干净,杀毒还是预防为主,格式化最保险
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2024-11-14 02:02 , Processed in 0.061338 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表