樣本分析實例
樣本是一個偽裝成wmv媒體文件的可執行文件,如圖:
它使用了wmv文件的圖標,由于Windows默認不顯示已知文件的擴展名,因此目標樣本的真實名字是WR.wmv.exe。
分析流程:
1)測試環境做一個恢復用的快照(Snapshot),使用體機的測試環境可以用Ghost來達到相同目的。
2)依次啟動InstallRite和ProcessMonitor,先給ProcessMonitor做Filter配置:
配置時用exclude方式將與目標樣本無關的程序如csrss.exe、installrite.exe等程序對注冊表的操作過濾,只留下explorer.exe、services.exe、svchost.exe等目標樣本可能使用到的程序。
使用InstallRite對系統狀態做一個快照:
注:在使用InstallRite做快照的時候可以先把ProcessMonitor的監視暫停。
3)運行目標樣本
4)ProcessMonitor的監視顯示目標樣本運行時啟動了Iexplore.exe和svchost.exe:
用InstallRite對目標樣本執行前后的系統狀態進行對比,在InstallRite的界面選ReviewInstallation查看對比的結果:
新增的文件:
新增的注冊表項:
刪除的文件:
目標樣本在C:\programfiles\CommonFiles\MicrosoftShared\Msinfo路徑下新建了2個文件,paramstr.txt和svchost.exe,并添加了一個叫做Svchost的服務。完成這兩個操作之后,目標樣本把自身刪除。
