Windows应急响应-QQ巨盗病毒

病毒背景

简介：Win32.PSWTroj.QQPass，名为：【QQ伪装盗号者】是一种QQ盗号木马，它会注入用户电脑的系统进程中运行，盗取病毒作者指定的帐号和密码以及其号码的其他信息。
参考链接：https://baike.sogou.com/v126222.htm

样本分析

病毒主程序样本名字是servere.exe，双击他就会开始感染

开启监控

用到两款工具，主要还是D盾的监控文件比较好用
1.MyMonitor
工具链接分享：
https://pan.baidu.com/s/1RKOR_LvfNX8QqEyJaDFq1Q?pwd=azwh
2.D盾
工具链接分享：
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott

MyMonitor打开即可，待会感染病毒需要将程序拖进去运行监控，然后将D盾监控文件夹，监控c盘和d盘，但是d盾只能一次监控一个文件夹，这里我就主要监控c盘，最后才补上监控d盘的操作。

感染病毒

D盾监控c盘功能打开后，就将程序文件拖进MyMonitor
等待程序运行推出即可看到报告，然后D盾也能看到具体操作了哪些文件

分析病毒行为

因为D盾一次只能监控一个盘符，所以分两次进行监控。我们使用虚拟机可以还原快照，所以多次监控也不算很麻烦，如果各位道友有发现更好的监控文件工具还请留言~

C盘文件监控

MyMonitor简单看下就行，我感觉分类的不是很好，确实能看到操作，但是不能分类而且有的行为没有检测到，所以下面就围绕D盾来查看病毒到底做了些什么事情。
最明显就是创建了四个文件(看异常的主要的就行，像log后缀哪种日志可以忽略)

线索卡：
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe

往下看还有创建了dll文件，在这中间其实还有很多重复创建操作，这个我理解为病毒是为了防止程序没有创建成功所以多次创建得原因，病毒就这么写的。

线索卡：
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll

往下看有一个动作是删除host文件然后创建了hosts文件，这个可以记录下来，后面需要去确认一下他对hosts文件做了什么手脚，一般可能是对域名进行ip替换之类的

线索卡：
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts

这里我双击d盘后创建了hx1.bat文件，具体行为是：设置系统时间为2004-1-22，因为后面有一个删除操作，文件不存在了就不找了，但是需要人为将时间设置回来。

线索卡：
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat设置系统时间为2004-1-22，记得修改回来正确时间

D盘文件监控

将虚拟机恢复快照，重新开启d盾监控d盘，然后重新感染一遍病毒，这里看监控结果就一目了然
1.创建d:\oso.exe
2.创建d:\autorun.inf

线索卡：
1.c:\wi