样本分析实例
样本是一个伪装成wmv媒体文件的可执行文件,如图:
它使用了wmv文件的图标,由于Windows默认不显示已知文件的扩展名,因此目标样本的真实名字是WR.wmv.exe。
分析流程:
1)测试环境做一个恢复用的快照(Snapshot),使用体机的测试环境可以用Ghost来达到相同目的。
2)依次启动InstallRite和ProcessMonitor,先给ProcessMonitor做Filter配置:
配置时用exclude方式将与目标样本无关的程序如csrss.exe、installrite.exe等程序对注册表的操作过滤,只留下explorer.exe、services.exe、svchost.exe等目标样本可能使用到的程序。
使用InstallRite对系统状态做一个快照:
注:在使用InstallRite做快照的时候可以先把ProcessMonitor的监视暂停。
3)运行目标样本
4)ProcessMonitor的监视显示目标样本运行时启动了Iexplore.exe和svchost.exe:
用InstallRite对目标样本执行前后的系统状态进行对比,在InstallRite的界面选ReviewInstallation查看对比的结果:
新增的文件:
新增的注册表项:
删除的文件:
目标样本在C:\programfiles\CommonFiles\MicrosoftShared\Msinfo路径下新建了2个文件,paramstr.txt和svchost.exe,并添加了一个叫做Svchost的服务。完成这两个操作之后,目标样本把自身删除。
