Windows应急响应-QQ巨盗病毒

目次

• 病毒背景
  
• 样天职析
  
  
  
  • 开启监控
    
  • 感染病毒
    
  • 分析病毒行为
    
    
    
    • C盘文件监控
      
    • D盘文件监控
      
    • 历程监控排查
      
    • 服务排查
      
    • 启动项排查
      
    
    
  • 查杀
    
    
    
    • 1.杀掉历程
      
    • 2.非常服务
      
    • 3.映像劫持处置惩罚
      
    • 4.hosts文件处置惩罚
      
    • 5.D盘文件删除
      
    • 6.其他非常排查
      
    
    
  • 重启排查
    
  
  

病毒背景

简介：Win32.PSWTroj.QQPass，名为：【QQ伪装盗号者】是一种QQ盗号木马，它会注入用户电脑的系统历程中运行，盗取病毒作者指定的帐号和密码以及其号码的其他信息。
参考链接：https://baike.sogou.com/v126222.htm
样天职析

病毒主步伐样本名字是servere.exe，双击他就会开始感染

开启监控

用到两款工具，重要照旧D盾的监控文件比较好用
1.MyMonitor
工具链接分享：
https://pan.baidu.com/s/1RKOR_LvfNX8QqEyJaDFq1Q?pwd=azwh
2.D盾
工具链接分享：
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott

MyMonitor打开即可，待会感染病毒需要将步伐拖进去运行监控，然后将D盾监控文件夹，监控c盘和d盘，但是d盾只能一次监控一个文件夹，这里我就重要监控c盘，最后才补上监控d盘的操作。
感染病毒

D盾监控c盘功能打开后，就将步伐文件拖进MyMonitor
等候步伐运行推出即可看到报告，然后D盾也能看到具体操作了哪些文件

分析病毒行为

因为D盾一次只能监控一个盘符，所以分两次进行监控。我们使用假造机可以还原快照，所以多次监控也不算很麻烦，如果各位道友有发现更好的监控文件工具还请留言~
C盘文件监控

MyMonitor简单看下就行，我感觉分类的不是很好，确实能看到操作，但是不能分类而且有的行为没有检测到，所以下面就围绕D盾来查看病毒到底做了些什么事情。
最明显就是创建了四个文件(看非常的重要的就行，像log后缀哪种日志可以忽略)

线索卡：
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe

往下看还有创建了dll文件，在这中心其实还有很多重复创建操作，这个我理解为病毒是为了防止步伐没有创建成功所以多次创建得原因，病毒就这么写的。

线索卡：
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll

往下看有一个动作是删除host文件然后创建了hosts文件，这个可以记录下来，后面需要去确认一下他对hosts文件做了什么手脚，一般可能是对域名进行ip更换之类的

线索卡：
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts

这里我双击d盘后创建了hx1.bat文件，具体行为是：设置系统时间为2004-1-22，因为后面有一个删除操作，文件不存在了就不找了，但是需要人为将时间设置返来。

线索卡：
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat设置系统时间为2004-1-22，记得修改返来精确时间

D盘文件监控

将假造机恢复快照，重新开启d盾监控d盘，然后重新感染一遍病毒，这里看监控结果就一目了然
1.创建d:\oso.exe
2.创建d:\autorun.inf

线索卡：
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat设置系统时间为2004-1-22，记得修改返来精确时间
8.创建d:\oso.exe
9.创建d:\autorun.inf

这里省略将所有exe文件还有dll文件丢到沙箱上查一下，这里就放jwbnlb.exe沙箱运行的结果。

历程监控排查

打开我们的老朋友PChunter
工具链接：
https://pan.baidu.com/s/1_OMmoe5aFGDu3--q0u94pw?pwd=w3rb\
找到servere.exe历程，因为我们是双击这个步伐感染的，当然也发现了病毒创建恶意步伐文件qvkwjh.exe、conime.exe当做历程运行起来了。

接着右键查看历程模块也发现了调用qvkwjh.dll模块\

线索卡：
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat设置系统时间为2004-1-22，记得修改返来精确时间
8.创建d:\oso.exe
9.创建d:\autorun.inf
10.三个恶意历程：servere.exe、qvkwjh.exe、conime.exe

服务排查

查恶意历程对应的服务，都没有发现有对应服务

1. tasklist /svc | findstr "PID"

复制代码

当然也要排查一下看有没有其他可疑的服务，着重看没有厂商签名的，这里就没发现有其他非常。

启动项排查

着重看没有厂商签名的启动项，果然发现三个非常的，而且照旧对应了恶意文件路径的启动项

这里我正打算打开系统自带的注册表查看启动项相干信息且对其进行删除对应的值的时间，发现打不开

实验win+r调出命令也不可，打不开

这里就意识到时中了映像劫持了：↓↓
解释：就是Image File Execution Options（其实应该称为“Image Hijack”。）是为一些在默认系统环境中运行时可能引发错误的步伐执行体提供特别的环境设定。但是病毒可以故意将其一些常见的步伐打开指向文件为不存在的或者自己指定的别的一些恶意步伐文件，多次感染等等。举例子：将360杀软步伐打开的动作指向了c:\windows\system32\servere.exe，那么如许不仅仅禁用了杀软还反复感染病毒了。
解决办法：将没有被禁用的步伐辅助找到被禁用的步伐文件，修改其名字即可，我这里就用文件搜刮找到注册表文件，复制出来进行修改名字即可打开了。

打不开注册表很明显就是被禁了，随便修改名字就能打开了

当然也可以通过PCHunter内部打开注册表，这里是不受影响的，因为没有禁用PChunter，但是为了恭敬病毒制作者(滑稽)，照旧要顺着他的意思走一下坑。

打开注册表后找到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
就能发现这个目次项下面都是被禁掉的软件应用，指向的是：
C:\WINDOWS\system32\drivers\jwbnlb.exe
比如下图中360safe.exe就被ban掉了，若电脑上有用360safe.exe那么双击运行就会出发jwbnlb.exe运行，再次感染。（这个劫持挺不错，就是动静太大了）

映像劫持解决办法：修改名字，删除注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中的被ban掉的目次项，查杀的时间将所有目次项删除掉即可，因为不是系统自带也不是人为创建的。

线索卡：
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat设置系统时间为2004-1-22，记得修改返来精确时间
8.创建d:\oso.exe
9.创建d:\autorun.inf
10.三个恶意历程：servere.exe、qvkwjh.exe、conime.exe
11.启动项(启动项对应注册表)
11.映像劫持：找到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 该目次下的目次项删除即可

查杀

1.杀掉历程

使用PChunter勾选竣事历程时间删除文件，那么就可以安心竣事历程了，省掉手动找文件删除

忘记删除历程模块了，可以找到对应文件下进行删除，文件做了隐藏，所以照旧需要通过PChunter找到文件删除：c:\windows\system32\qvkwjh.dll
最好先勾选删除后阻止文件再生，然后再次右键文件进行强制删除。

线索卡：
1.c:\windows\system32\severe.exe 已删除
2.c:\windows\system32\qvkwjh.exe 已删除
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe 已删除
5.c:\windows\system32\qvkwjh.dll 已删除
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat设置系统时间为2004-1-22，记得修改返来精确时间
8.创建d:\oso.exe
9.创建d:\autorun.inf
10.三个恶意历程：servere.exe、qvkwjh.exe、conime.exe 已竣事
11.启动项(启动项对应注册表)
11.映像劫持：找到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 该目次下的目次项删除即可

2.非常服务

这三个非常服务都删除即可，Shell启动项需要定位注册表删除，这时间千万不要直接打开系统的注册表，使用PChunter打开，或者你自己搜刮注册表出来重定名再打开注册表。

Shell启动项删除不掉，那就定位到注册表将其删掉即可

线索卡：
1.c:\windows\system32\severe.exe 已删除
2.c:\windows\system32\qvkwjh.exe 已删除
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe 已删除
5.c:\windows\system32\qvkwjh.dll 已删除
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat设置系统时间为2004-1-22，记得修改返来精确时间
8.创建d:\oso.exe
9.创建d:\autorun.inf
10.三个恶意历程：servere.exe、qvkwjh.exe、conime.exe 已竣事
11.启动项(启动项对应注册表)  已删除
11.映像劫持：找到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 该目次下的目次项删除即可

3.映像劫持处置惩罚

上面已经讲过了方法，映像劫持解决办法：修改名字，删除注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中的被ban掉的目次项，查杀的时间将所有目次项删除掉即可，因为不是系统自带也不是人为创建的。
我们的PChunter也能做，还能批量删除，比直接通过注册表一个个删除方便，同时还提供删除对应的步伐文件，删除注册表和对应的步伐文件。

这时间再win+r调出注册表就可以正常打开了

再次解释一下映像劫持的原理：通过在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 中添加对应的步伐名字，打开的时间就会优先通过这注册表信息找到对应的步伐路径，这里的步伐路径写的是恶意步伐文件，如果再次点击就会再次感染一遍。

线索卡：
1.c:\windows\system32\severe.exe 已删除
2.c:\windows\system32\qvkwjh.exe 已删除
3.c:\windows\system32\drivers\jwbnlb.exe 已删除
4.c:\windows\system32\drivers\conime.exe 已删除
5.c:\windows\system32\qvkwjh.dll 已删除
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat设置系统时间为2004-1-22，记得修改返来精确时间
8.创建d:\oso.exe
9.创建d:\autorun.inf
10.三个恶意历程：servere.exe、qvkwjh.exe、conime.exe 已竣事
11.启动项(启动项对应注册表)  已删除
11.映像劫持：找到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 该目次下的目次项删除即可 已处置惩罚

4.hosts文件处置惩罚

正常文件夹中找不到该文件，被做了文件隐藏，那么就通过PChunter操作
发现文件内容为：(意思是屏蔽下列杀软等网站)

1. 127.0.0.1       localhost
2. 127.0.0.1       mmsk.cn
3. 127.0.0.1       ikaka.com
4. 127.0.0.1       safe.qq.com
5. 127.0.0.1       360safe.com
6. 127.0.0.1       www.mmsk.cn
7. 127.0.0.1       www.ikaka.com
8. 127.0.0.1       tool.ikaka.com
9. 127.0.0.1       www.360safe.com
10. 127.0.0.1       zs.kingsoft.com
11. 127.0.0.1       forum.ikaka.com
12. 127.0.0.1       up.rising.com.cn
13. 127.0.0.1       scan.kingsoft.com
14. 127.0.0.1       kvup.jiangmin.com
15. 127.0.0.1       reg.rising.com.cn
16. 127.0.0.1       update.rising.com.cn
17. 127.0.0.1       update7.jiangmin.com
18. 127.0.0.1       download.rising.com.cn
19. 127.0.0.1       dnl-us1.kaspersky-labs.com
20. 127.0.0.1       dnl-us2.kaspersky-labs.com
21. 127.0.0.1       dnl-us3.kaspersky-labs.com
22. 127.0.0.1       dnl-us4.kaspersky-labs.com
23. 127.0.0.1       dnl-us5.kaspersky-labs.com
24. 127.0.0.1       dnl-us6.kaspersky-labs.com
25. 127.0.0.1       dnl-us7.kaspersky-labs.com
26. 127.0.0.1       dnl-us8.kaspersky-labs.com
27. 127.0.0.1       dnl-us9.kaspersky-labs.com
28. 127.0.0.1       dnl-us10.kaspersky-labs.com
29. 127.0.0.1       dnl-eu1.kaspersky-labs.com
30. 127.0.0.1       dnl-eu2.kaspersky-labs.com
31. 127.0.0.1       dnl-eu3.kaspersky-labs.com
32. 127.0.0.1       dnl-eu4.kaspersky-labs.com
33. 127.0.0.1       dnl-eu5.kaspersky-labs.com
34. 127.0.0.1       dnl-eu6.kaspersky-labs.com
35. 127.0.0.1       dnl-eu7.kaspersky-labs.com
36. 127.0.0.1       dnl-eu8.kaspersky-labs.com
37. 127.0.0.1       dnl-eu9.kaspersky-labs.com
38. 127.0.0.1       dnl-eu10.kaspersky-labs.com

复制代码

解决办法：拷贝出来，删除文件，从其他机器上拷贝一份好的过来用即可

线索卡：
1.c:\windows\system32\severe.exe 已删除
2.c:\windows\system32\qvkwjh.exe 已删除
3.c:\windows\system32\drivers\jwbnlb.exe 已删除
4.c:\windows\system32\drivers\conime.exe 已删除
5.c:\windows\system32\qvkwjh.dll 已删除
6.修改了c:\windows\system32\drivers\etc\hosts 已处置惩罚
7.hx1.bat设置系统时间为2004-1-22，记得修改返来精确时间
8.创建d:\oso.exe
9.创建d:\autorun.inf
10.三个恶意历程：servere.exe、qvkwjh.exe、conime.exe 已竣事
11.启动项(启动项对应注册表)  已删除
11.映像劫持：找到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 该目次下的目次项删除即可 已处置惩罚

5.D盘文件删除

首先你要留意autorun.inf文件的存在，如果有的话就不要随意双击盘符，照旧右键打开盘符最好，很明显有一个坑， （不要学我）我这里先双击打开，然后查看历程你就会发现又感染了一遍病毒，所以一定要一定要谨慎一点，这个病毒照旧比较狡猾的。

回到正题，要删除d盘下的文件，你会发现都做了文件隐藏，所以照旧继承上工具。
删除前打开autorun.inf查看你会发现照旧老样子，果然OSO.exe文件是感染文件，如果你双击的话就会执行OSO.exe文件再次感染

接着PChunter找到文件进行删除即可

最后还剩下一个系统时间，这里就忽略了，默认已经处置惩罚。

线索卡：
1.c:\windows\system32\severe.exe 已删除
2.c:\windows\system32\qvkwjh.exe 已删除
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe 已删除
5.c:\windows\system32\qvkwjh.dll 已删除
6.修改了c:\windows\system32\drivers\etc\hosts 已处置惩罚
7.hx1.bat设置系统时间为2004-1-22，记得修改返来精确时间 已处置惩罚
8.创建d:\oso.exe 已删除
9.创建d:\autorun.inf 已删除
10.三个恶意历程：servere.exe、qvkwjh.exe、conime.exe 已竣事
11.启动项(启动项对应注册表)  已删除
11.映像劫持：找到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 该目次下的目次项删除即可 已处置惩罚

6.其他非常排查

以下均没发现非常

• 非常连接排查（netstat -ano）
  
• 非常账户排查（net user、克隆账户、隐藏账户）
  
• 筹划任务
  
• 等等
  

重启排查

跟着线索卡走一遍看有没有再生文件，或者其他非常历程服务等等

线索卡：
1.c:\windows\system32\severe.exe 已删除
2.c:\windows\system32\qvkwjh.exe 已删除
3.c:\windows\system32\drivers\jwbnlb.exe 已删除
4.c:\windows\system32\drivers\conime.exe 已删除
5.c:\windows\system32\qvkwjh.dll 已删除
6.修改了c:\windows\system32\drivers\etc\hosts 已处置惩罚
7.hx1.bat设置系统时间为2004-1-22，记得修改返来精确时间 已处置惩罚
8.创建d:\oso.exe 已删除
9.创建d:\autorun.inf 已删除
10.三个恶意历程：servere.exe、qvkwjh.exe、conime.exe 已竣事
11.启动项(启动项对应注册表)  已删除
11.映像劫持：找到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 该目次下的目次项删除即可 已处置惩罚

这里省略了入侵排查过程
1.账号排查
2.查看服务
3.查看启动项
4.查看筹划任务
5.网络环境
6.历程排查
后续病毒没有做更多的动作，就是做了以上分析的操作，重要是为了盗取中毒的受害者的账号密码，早期qq风靡环球，所以盗取qq号最多，那时间经常有好兄弟给我发一些正能量，有时间分不清他们是真被盗了发的照旧故意装被盗号发的，还好那时还小看不懂，太正能量了。
qq巨盗病毒早期的盗号病毒，具体获取敏感数据这里没做分析，不过也是一次很好的应急响应历练，历程、启动项、服务、注册表、映像劫持、autorun、甚至修改hosts文件尽可能防止杀软步伐进来把病毒杀了，用来提升应急思路照旧不错的。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。