Windows应急响应-Auto病毒

原创 已于 2024-10-05 18:39:10 修改 · 1.9k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #网络安全 #安全

于 2024-10-05 17:47:31 首次发布

文章目录

应急背景

运维人员准备通过windows共享文档方式为公司员工下发软件安装,开启完后忘记关闭了,而且其他人可以对共享文件夹下的文件进行删除替换修改,有恶搞的人就通过共享文件夹的方式,捆绑了病毒在一些文件中,导致公司员工下载安装的时候中了病毒。
症状如下图,右键盘符出现Auto
在这里插入图片描述
上网查发现是auto病毒,首要特征就是盘符下存在autorun.inf文件,待会分析就会发现这个文件,而且每次双击盘符都会根据autorun.inf文件重新运行文件中指定的程序文件,也就是说会重新感染一次病毒。

分析样本

在共享文件夹中拿到样本后先丢到虚拟机对样本进行行为监控,看下一具体做了什么手脚。
监控工具使用D盾
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott

开启监控

D盾可以打开文件监控,主要看病毒做了什么,重点看创建了什么文件
在这里插入图片描述
就这就可以启动监控了
在这里插入图片描述

感染病毒

把病毒样本丢进虚拟机,记得把虚拟机网卡模式设置成仅主机模式,避免有的病毒把物理机也感染了。
在这里插入图片描述

查看监控

双击后很明显看到有两个诡异的文件被创建了

线索卡:
1.c:\\autorun.inf
2.c:\\system32\dllh0st.exe

在这里插入图片描述

分析病毒行为

1.autorun.inf分析

首先查看一下autorun.inf文件,右键打开盘符,这里也可以看到确实是已经感染了病毒了

最低0.47元/天 解锁文章
应急响应Windows权限维持--后门篇
鹿鸣天涯
06-22 970
利用COM劫持技术,最为关键的是dll的实现以及CLSID的选择,通过修改CLSID下的注册表键值,实现对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例。如果攻击者能够控制其中的某一 个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。管理员在平时运维过程应当保持警惕,掌握一定的入侵排查技巧,及时进行系统补丁更新,定期对服务器安全检查,才能有效地预防后门。
应急响应 - Webshell 处理 15
热门推荐
战神/calmness的博客
02-05 1万+
目录 Webshell概述 Webshell分类 JSP型Webshell脚本 ASP型Webshell脚本 PHP型Webshell脚本 Webshell用途 1.站长工具 2.持续远程控制 3.权限提升 4.极强的隐蔽性 Webshell检测方法 1.基于流量的Webshell检测 2.基于文件的Webshell检测 3.基于日志的Webshell检测 Webshell防御方法 常规处置方法 入侵时间确定 Web日志分析 漏洞分析 漏洞修复 常用工具 扫.
彻底清除U盘Autorun.inf病毒的自动化脚本
weixin_36001279的博客
05-02 1530
U盘Autorun.inf病毒是一种利用自动运行功能(Autorun)的恶意代码,广泛存在于移动存储设备中。它们能在用户不知情的情况下自动执行,从而对数据安全和系统稳定造成严重影响。
AUTO病毒查杀工具
07-25
AUTO病毒查杀工具,清除双击显示打开方式,用右键才能打开的病毒
XueTr系统安全监控与管理工具实战详解
最新发布
weixin_42502040的博客
09-21 1096
XueTr由国内安全研究团队开发,采用双层架构设计——用户态GUI程序与内核驱动(xuetr.sys)协同工作,通过IRP通信机制实现特权级交互。其设计理念聚焦于“透明化系统内部状态”,不依赖特征库匹配,而是直接访问Windows内核关键数据结构(如_KPCR_EPROCESS_ETHREAD),从而绕过恶意软件对API的钩取干扰。// 驱动加载后获取KPCR示例(简化)__asm {mov eax, fs:[0x18] // 获取KPCR基址。
AutoRun.inf 文件详解
子曰小玖的博客
11-08 8999
我们已经知道可以利用Aurorun.inf来指定光盘自动加载的图标和运行的文件,其实Autorun.inf的用处可大了,下面就向大家详细介绍有关Autorun.inf的应用。   了解Autorun.inf   什么是Autorun.inf文件呢,严格的说它是一个必须存放在驱动器根目录下的有一定格式的文本文件,它是由一个或多个“节”组成,每个“节”民须以节名作为开始的一行,节名必须用中括号[]括起来,节名之下则为本节中的命令。   其中Autorun.inf一共支持三个节,它们分虽为[auto...
RunAuto专杀工具
07-31
RunAuto专杀工具 此病毒是灰鸽子的一种,主要通过U盘传播,一般的AUTO专杀工具无法查杀。 中毒后在每个盘符下生成runauto..的隐藏文件夹,安全模式下也无法删除。 病毒对系统进行映像劫持,分别劫持cmd,regedit,msconfig,service等程序。 同时服务中增加Kerberos Key Distribution Centers服务,并以进程保护。 病毒进程为C:\windows\lsass.exe,该进程无法手动结束。
U盘(auto病毒)类病毒分析与解决方案(zt)
conglengjie0508的博客
01-15 286
内容:U盘(auto病毒)类病毒分析与解决方案来自大成天下[@more@]U盘(auto病毒)类病毒分析与解决方案 出处:数据安全实验室 (DSW Lab Avert 小组)日期:2007年01月07日 版权所有,转载请保留版权...
关于U盘病毒(又名Autorun病毒)
hijack-x's Blog
04-10 8093
   U盘病毒,又名Autorun病毒,是最近比较流行的一种病毒,此病毒最先是通过U盘等移动存储介质来传染,故得名U盘病毒。此病毒会将一个可执行文件和一个autorun.inf文件拷贝到硬盘除系统盘的其他分区,并将这两个文件的属性设为隐藏和系统文件,所以用户在“不显示隐藏的文件和文件夹”下是看不到的。这两个文件通常位于被感染的磁盘或优盘、MP3、MP4等移动存储介质的根目录下,用户只要一双击被此病
应急响应-Windows挖矿实战
告白的博客
09-10 849
初步判定为192.168主机的rdp爆破进入本主机,主机存在木马文件,且存在计划任务,后门,映像劫持用来权限维持,将相关病毒查杀删除后,全班主机查杀后,重启观察未发现cpu异样。相关的192.168主机需进行下一步的应急处置。
windows应急响应
weixin_44110913的博客
06-10 1869
文章目录windows---应急响应windows网页应急响应.传马工具扫上传的马二.分析日志,端口,进程,服务,近期打开的文件,开机启动项三.找到攻击者所找到的漏洞,打补丁windows系统应急响应 windows应急响应 windows网页应急响应.传马工具扫上传的马 二.分析日志,端口,进程,服务,近期打开的文件,开机启动项 1.分析日志 网站通常是看中间件日志,通常目录是在中间件的logs目录下的acces.log文件。 看日志可以分析攻击者发起啦哪些攻击,也可快捷键找自己需要的内容
Autorun病毒免疫
07-23
利用在磁盘根目录下建立一个特殊文件夹的方法<br>(正常情况下删不掉的文件夹)<br>病毒不能创建Autorun.inf文件 因此达到免疫的目的
U盘Autorun病毒清除工具v3.3完整版.rar
09-04
软件介绍: 软件功能:可以扫描内存、本地硬盘、U盘中的自动运行类病毒autorun.inf,本工具可以永久的清除此类病毒,软件虽然是英文的,但是使用起来很简单,软件启动后直接,选择要扫描的设备,直接点击Start开始扫描并清除病毒。启动后它会常驻内存,当有USB设备插入的时候,会自动阻止病毒及木马的攻击,为你提供全方位的保护,支持U盘、内存卡及数码播放器等。也可以修复无法打开U盘的问题。启动软件后,点击Register,使用以下注册信息,输入后重启程序即是完整版。User name:DSLicense Code:HY
病毒-autorun病毒解决方法
12-23
autorun病毒解决方法,简单易懂,帮你解决最棘手的问题。
病毒茶几 U盘里的恶魔——Autorun病毒
weixin_33814685的博客
05-30 500
病毒茶几 U盘里的恶魔——Autorun病毒simeon   听见Autorun病毒,你肯定不陌生了,它曾经几次荣登病毒排行榜榜首,成为互联网面临重大威胁之一,众多“杯具”是由它产生的,尤其是U盘上。我们常见到的是一个autorun.inf和一个exe文件(见图),这两个文件可是有历史的啊。Autorun.inf早期用于Win95系统的自动安装,后面主要用于磁盘或者光盘的自动播放,当插入U盘或者光...
Auto病毒清除方法
不用此栏
04-02 2147
1、打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone.exe的进程 2、进入c:/windows,删除其中的ravmone.exe 3、进入c:/windows,运行regedit.exe,在左边依次点开HK_Loacal_Machine/software/Microsoft/windows/CurrentVersion/Run/,在右边可以看到一项数值是c
最新(U盘木马)Auto病毒专杀
u盘病毒专杀工具
11-13 2634
最新(U盘木马)Auto病毒专杀 (U盘木马)Auto病毒专杀1、30秒闪电查杀 RavMone、Rose、Sxs、OSO 等几十种通过U盘传播的Autorun病毒2、查杀未知Autorun病毒3、完美解决双击无法打开磁盘的问题4、对系统实行主动防御,自动检测清除插入U盘内的病毒,从根本上杜绝病毒通过U盘感染电脑5、解除U盘锁定状态,解决拔出时无法停止设备的问题!6、禁止自动运行和免疫Au
关于右键auto病毒清除
Execute的专栏
05-20 4639
病毒现象:系统文件隐藏无法显示,无法使用“文件夹选项”显示系统文件;双击盘符无反映,任务管理器发现  svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开 .在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开,右键菜单有“auto”字符选项。解决办法:一、关闭病毒进程:Ctrl + Alt + Del 任务管理器,在进程中查
auto病毒清除器.bat
内事问度娘,外事问谷歌!
11-10 295
auto病毒清除器.bat CLS @ECHO OFF COLOR 2 echo --------------------------------------------------------------------------- echo. echo 本程序会清除auto病毒并且抑制其在次生成 echo. echo ----------------...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

竹等寒

谢过道友支持,在下就却之不恭了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值