安全专家浅谈恶意代码的研究分析(3)

 ◆再次进行脱壳,最后侦查的结果是使用Dephi语言进行编码。

◆通过注册表监视工具RegMon,监视病毒运行时对注册表的操作行为;通过文件监视工具FileMon监视病毒运行时对文件的操作行为。也可以用快照工具RegSnap进行注册表和指定目录下的文件进行前后对比,快速找出病毒新建和修改的注册表,以及本地文件的释放行为。

498)this.style.width=498;" border=0>

文件运行后会释放以下文件
%System32%/drivers/spo0lsv.exe     32,768字节
新增注册表
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/run]
%System32%/drivers/spo0lsv.exe

另外有些还需要手工进行查找。如对IE的临时文件、host文件、msconfig文件等进行手工分析,查看是否对这些文件进行修改或者在目录下生成新的文件。

◆通过Sniffer工具进行网络监视。后门类与木马类病毒在成功感染后,往往会把搜集到的用户信息发送出去,或是主动连接下载病毒的主程序,这样就必然要进行网络操作。通过一些网络监视工具,来发现病毒的网络行为。

本样本通过sniffer工具抓包分析的连接网络行为如下:

498)this.style.width=498;" border=0>

协议:TCP
域名或IP地址:www.yahoo.com (209.131.36.158)
端口:80
对目标主机的操作:通过QQ代理进行访问www.yahooo-ht3.akadns.net

协议:TCP
域名或IP地址:www.tom.com (202.108.12.68)
端口:80
对目标主机的操作:通过QQ代理进行访问www.web.cdn.tomcdn.com

协议:TCP
域名或IP地址:www.163.com (202.108.9.34)
端口:80
对目标主机的操作:通过QQ代理进行访问www.cache.split.netease.com

协议:TCP
域名或IP地址:www.sohu.com (61.135.188.65)
端口:80
对目标主机的操作:通过QQ代理进行访问www.pagegrp7.a.sohu.com

协议:TCP
域名或IP地址:www.google.com (64.233.189.99)
端口:80
对目标主机的操作:通过QQ代理进行访问www-china.l.google.com
……
病毒感染后,带有QQ尾巴的功能,能通过QQ代理访问上述网址。

你可能感兴趣的:(技术)