本帖最后由 adds 于 2022-1-15 20:27 编辑
今天是2022年1月12日,2022年写的第一篇帖子。有时间能水一篇帖子真是件让人幸福的事啊。 就是想写,不,码几个字给自己看看。
一、wanna mine 4.0 这个虚拟机躺在我的电脑硬盘有两年了,Nitol是一起拷过来的,是19年,上一次打开是21的3月。 我的天, 竟然不是两年,而是快三年了。忘了现在是22年了。
二、一切都是幻觉? 打开我的wanna mine 4.0虚拟机。 一切静悄悄的。 CPU正常、内存正常。
打开process hacker。连可疑流量外发都没有。
长时间没有运行系统,把病毒饿死了?
三、自己投毒 1、解压我的病毒文件 然后拖到虚拟机里。
将“test_exe”重命名为“test_exe.exe”。运行后大概半分钟后,text.exe将会进行自删除。
2、观察Process Hacker,发现有大批量扫描内网445端口的行为
3、定位病毒 通过上面红通通的图片,我们知道了病毒进程是svchost.exe进程。
这是个父进程,父进程下有两个子进程,分别为dllhostex.exe、svchost.exe。 先分析第一个dllhostex.exe。
打开文件所在文件夹,计算其文件MD5值。
将MD5值发送到X.threatbook.cn校验,显示是恶意网址。
使用深信服的sec.sangfor.com.cn上校验一下。
将文件拷贝到有安装杀毒软件的系统,文件在拷贝过程中直接报毒,系统自动处理了。
4、处理 按照正常的处理步骤,结束进程,删文件。如果直接删除文件会报文件被系统占用,直接报错。 但是在结束进程、删除文件后,发现过了30秒左右,进程文件又自动运行,原来删除的文件又恢复了。 说明该进程开启了进程守护,即我结束该结束,父进程会再重新拉起该进程。 我们需要先定位到该进程的DLL文件,将其启动项删除,再结束父子进程,删除文件。 找到父进程。
使用pchunter定位该进程。
查看该进程的模块,分析其文件签名,找到有问题的DLL。
定位到问题项,这次一共定位到两项: 一项一项去验证,api-ms-win-core-synch-l1-2-0.dll在threatbook和virustotal境外没有报,而ApplicationRPCClient.dll则全报。 第三方网站验证 微步:
virustotal:
云沙箱析结果:
这里注明下,云沙箱结果处理好慢,virustotal和threatbook第二个结果都出来了,云沙箱还在跑第一个文件。
在将其拷贝到另一个系统的过程中,直接被火绒查杀,可以确认有问题。
删除applcationRPCClient.dll其启动项:
结束掉进程,dllhostex.exe、svchost.exe: 两个进程必须一起结束。
最后删除进程创建的文件夹NetworkDistribution和dllhostex.exe文件:
四、干唠 1、客户的话要辩证的听,你听的方法正确就能帮助你快速排查问题,你听的方法错误就能把自己带沟里。 有一工程师去上架一台VPN,配置好了发现,发布的OA资源用户端总是跳转不过去,后来发现问题是VPN到OA服务器不通,但配置电脑能跟OA服务器通信,然后就一起起怎么解决VPN到OA服务器之间不通的问题。客户说,你的VPN只要能跟这个OA服务器的地址能信就OK啦。 第一天,没搞通。回去反馈给公司,公司给的建议是:配置电脑的IP与VPN地址互换;排查VPN与OA服务器之间的问题。 第二天,又没搞通。回去反馈给公司:电脑的IP与VPN地址互通后,VPN的依旧不通;联系400搞通后,发现也接入VPN也访问不到OA。 第三天,再次沟通后才发现,之前认为的OA地址是配置地防火墙上的映射地址,不是真实的OA服务器地址。
2、电脑开机,让他正常开完机好吗?别总在开机过程中瞎点。
1个月内两起了,客户就反馈电脑不能用了,自己开完机就这样了,啥也没动?
关键,所有的当事者都言之凿凿的表示,我就开了个机,啥也没动? 难道是电脑自己动的,我信你个鬼啊?
3、最惨的电脑 知道这台电脑怎么开机吗?黄线和白线的铜线搭一起5S就开机了。
这一台,按着箭头指的小黑点长按5s开机。
处理这个系统还原的问题花了一天,恢复系统、找文件、装驱动2小时,安装中国建设银行的驱动装了1天,搞的400的客服都着急了,压力多大。 心疼一秒钟。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-1-16 09:31
技术专家4级 
