自己动手搭建恶意软件样本行为分析环境（二）

　　样本分析实例

　　样本是一个伪装成wmv媒体文件的可执行文件，如图：

　　它使用了wmv文件的图标，由于Windows默认不显示已知文件的扩展名，因此目标样本的真实名字是WR.wmv.exe。

　　分析流程：

　　1）测试环境做一个恢复用的快照(Snapshot)，使用体机的测试环境可以用Ghost来达到相同目的。

　　2）依次启动InstallRite和ProcessMonitor，先给ProcessMonitor做Filter配置：

　　配置时用exclude方式将与目标样本无关的程序如csrss.exe、installrite.exe等程序对注册表的操作过滤，只留下explorer.exe、services.exe、svchost.exe等目标样本可能使用到的程序。

　　使用InstallRite对系统状态做一个快照：

注：在使用InstallRite做快照的时候可以先把ProcessMonitor的监视暂停。

　　3）运行目标样本

　　4）ProcessMonitor的监视显示目标样本运行时启动了Iexplore.exe和svchost.exe：

　　用InstallRite对目标样本执行前后的系统状态进行对比，在InstallRite的界面选ReviewInstallation查看对比的结果：

　　新增的文件：

新增的注册表项：

删除的文件：

　　目标样本在C:\programfiles\CommonFiles\MicrosoftShared\Msinfo路径下新建了2个文件，paramstr.txt和svchost.exe，并添加了一个叫做Svchost的服务。完成这两个操作之后，目标样本把自身删除。

　　5）使用Gmer和ProcessExplorer检查系统发生的改变：

　　从ProcessExplorer和Gmer的显示结果可知，目标样本启动了一个隐藏的Iexplore.exe进程。

　　6）使用TCPView查看网络连接

可以看见目标样本启动的Iexplore.exe进程连接的是

　　186.119.232.72.reverse.layeredtech.com的http(80)端口。

　　7）使用Ethereal抓包检查网络连接的数据

　　Ethereal五分钟的抓包结果显示，目标样本会通过DNS服务器查询(www.ifrstats.com)的IP地址,并每隔30秒向其发送TCP包，包的长度为0，具体含义未知。

　　8)分析和文档

　　综合以上工具的监视结果，我们可以总结出样本的性质，目标样本为一个服务安装启动方式的木马程序，会使用进程注入技术（注入Iexplore.exe）穿透防火墙的网络连接控制，并带简单的Rootkit功能（隐藏其启动的iexplore.exe进程）

　　目标样本分析结果整理后，记录如下：

　　样本分析结果记录表 样本编号:TR061125A2

　　根据检查结果登记表，就可以对该目标样本感染过的计算机进行有针对性的清理，更进一步的可以编写专杀程序，或者将检查的结果提交应急响应机构，不过这就不是本文要讨论的内容了。