记一次某城乡结合部应急支撑工作

序

本文文章不涉过多及脱壳和逆向技术，仅对病毒作行为分析，相对简单易学。逆向苦手不用害怕。

背景：

某天BOSS接到慈善业务，某XX办市级下属单位被通报，大概意思某区XX办被市级XX办通报了，要求某区级处理。

由于区级没有技术力量，所以文章作者就收到了来自BOSS的施压。要去处理这个事情，并要展示其专业性。黑人问号脸?

通报内容是纸质大概只给了 来源IP 端口 目的IP 端口 病毒类型为远控，，，，然后，，，，没了。。。

一、来到现场分析开始 (定位）

先在网关做镜像口，由于一般小单位没有管网络设备的人，最好自己带一个可配置的交换机作为镜像口配置。

镜像口配置好了，打开电脑接上就开启抓包放那就好，截图使用的wireshark，总计抓包时间2小时18分 过滤通报地址。

XXX.XXX.243.3 为通报IP 归属为美国 192.168.16.25 为内网PING 测试地址 发现有通报IP的集中在192.168.16.250 的访问

看MAC 地址查询之后发现很可能是菊花厂的网络设备，下面还有其他客户端。

找到：

然后再在这个网段下作抓包分析 最后定位到 192.168.0.204 网关为192.168.16.250

最后找到个这么个东西：

到这里呢其实这个只要重装系统杀杀毒就完事了，但是BOSS要求展示其专业性，所以这事就还没完……

二、中毒主机现状分析

中毒主机 winXP winXP ??GHO系统 上面还有很多2345之类的东西。

逆向和监控类的软件大概准备了这些

LPK.DLL 是打包回来的病毒。

但是实际只用了process monitor、winhex、processexplorer、火绒剑，其他一些软件是事后分析用的不多讲了。

当然你也不太可能现场脱壳，时间有限不太实际。

2.1 找到对应进程号 开启processmonit

发现进程名为svchost.exe PID 1892 进行在与 XXX.XXX.243.3:8090 处于连接建立状态。

并在多个目录生成lpk.dll文件（疑似病毒），文件生成自带文件隐藏属性。

2.2 发现网络通信

主要通信域名：X.4.aravwal.info X.5.aravwal.info

查询了一下 是未注册状态，但是微步上反查有这个域名？？ X.5.aravwal.info 这个算是没有的。

X.4.aravwal.info 指向的是另一个地址 XXX.XXX.243.4 对跟通报IP XXX.XXX.243.3就差1，可能一样的东西两个IP地址转发请求也有可能，这里不做过多讨论。

2.3 使用winhex 访问RAM 发现主动下载请求 （由于中途蓝屏一次PID 变为1884）

还发现LPK.DLL 作为挂载到svchost 进程的痕迹 将全部内存和主存储器 打包带回去研究。。。。。。

网络抓包情况也是如此

很明显 XXX.XXX.243.3和 XXX.XXX.243.4 存在跳转关系

2.4 查询微步发现这上面确实是毒窝

这个服务器上病毒的问题不在本次应急范围内简单贴个图分析的行为图就完

综上所述：主机的病毒行为简单分析

简单说实际分析不需要会脱壳的，在主机上开机监控软件就好，全量监控、访问内存和进程转储是常用办法。

1：优点 门槛低易学易会 2：缺点 分析不全面 比如病毒下载某文件 你只知道行为，但是不知道底层代码如何实现的。

但是一般应对客户交差交报告做病毒分析问题不大。实时分析技术也是沙箱的技术原理

最后写报告。。。。

后续处置建议 我这里写的相对简单 毕竟是慈善业务，后续看销售发挥。

后续处置建议：

建议网络出口增加一台带有病毒查杀功能的防火墙，用于防止网络访问引起中毒事件。 建议在所有客户端增加终端管控与杀毒软件，用于防止控制U盘插入和人为中毒事件。（杀毒软件需要专人维护定期更新 建议一个月一次 企业版杀毒软件可以统一更新） 加强人员安全意识培训，增强技术人员安全技能。出现类似情况方便自行处理。

*本文原创作者：redhatd，本文属于FreeBuf原创奖励计划，未经许可禁止转载