【我是小白】记一次搭配 SCEP 双击样本的经历

ELOHIM

NOTE：全人类都要爱护小白。不许伤害。只能关爱。
样本地址：http://bbs.kafan.cn/forum.php?mod=viewthread&tid=2091796&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline

该样本在双击之前，SCEP并不会查杀它。所以，刚刚有空，玩了一次心跳。
VBOX WINDOWS 7 x32 大胆双击。
双击以后，SCEP提示了 5 种类型的恶意文件。
目前未见 SCEP 有提示 漏洞攻击行为。
见下图（病毒类型没有截取完整）：


染病乱，病毒注入到了系统 svchost.exe 里面！并借用 svchost.exe 外连。
见下面信息：
[mw_shl_code=css,true]svchost.exe        2276        TCP         host        49731        hdyejdn638ir8.com        https        ESTABLISHED        12        418        5        207        7        17        2        1               
svchost.exe        2276        TCP         host        49822        134.0.117.8        443        ESTABLISHED        16        454        8        787                17                1[/mw_shl_code]
因为，如果不注入系统 svchost.exe 我设置防火墙是不允许外连的。so ...

其在 C:\PROGRAMDATA下生成日志，内容为计算机硬件ID编码。如下：
[mw_shl_code=css,true]2017/06/03  21:43                64 aykkdjal.log[/mw_shl_code]

这个样本还具有同网段内传播加感染的行为，其通过 TCP 139 port 遍历局域网主机。同时证明其没有反虚拟机行为。
见下图系统防火墙日志。


该样本进程运行以后，首先删掉系统还原点，防止系统还原。--可见系统还原的重要性。
并且通过svchost.exe 守护，强行结束，立即重新加载进程。
并添加了两个开机启动项。并不能简单删除。
————————————————————
下面说一下小白的操作，请大神斧正。
我只使用了 SCEP 做为安全软件，同时有使用 sysinternals 工具包辅助，其他全都是系统自带功能。
系统中毒以后的确让人着急，心慌意乱，不知如何下手。
同时，因为UAC最高并且禁止无签名文件提权，所以，系统的 cmd.exe 频繁弹窗，根本不能进行其他操作。
此时，有两种方法处理。
第一，进安全模式（如果安全模式未被破坏）。
第二：注销计算机重新登录（因为我看到 SCEP 会查杀他的加载操作）。
开机启动项并不能被直接删除，所以，我使用了系统自带功能 NTFS，全部用户都将病毒启动项赋予拒绝权限。
单独针对TEMP下的病毒文件也同样处理。
然后注销计算机，重新登录就不会受到他的干扰了。
此时，就可以轻松干掉他的开机启动项。
病毒同时利用 TRACERT.EXE 这个文件想做一些网络操作，但是并未成功，加载了三四个同样的进程。

这里有一些“良好的使用习惯”可以共享一下。
第一，防火墙一定要有详细的进出站成功与否的日志可查！并且默认阻止所有进出站操作。全部记录。
进站，可以考虑阻止“全部程序/全部TCP/全部UDP”进站。个人计算机并不会有任何问题。企业用户酌情配置一下。
本文是小白写给小白看的……小白一定要不怕辛苦。多多打磨防火墙规则。
然后，杀毒的事就交给你信任的那个人吧……
会手杀请你无视我存在。

出站程序和IP以及端口要逐个检查确认以后再填写规则。
无关紧要的程序和部分系统进程比如rundll32.exe可以不考虑联网（10系统可能造成时间不能同步，但是可以 ping 时间服务器获得 IP 以后单独输入，IP可能是动态的，需要及时更新。其他程序比如浏览器也可以配置单独 IP ，不过相当麻烦）。

辛辛苦苦写好的规则，一定记得导出导出导出！

第二，UAC调最高并且禁止提升无签名文件权限（没有签名的文件可就惨了。。）。手动提权则弹出一下信息：

[mw_shl_code=html,true][Window Title]C:\Users\U\Downloads\2017-06-02_04-08-04.exe[Content]C:\Users\U\Downloads\2017-06-02_04-08-04.exe从服务器返回了一个参照。[确定][/mw_shl_code]第三，实时观察仪表盘指数，如果突然升高，需要立即检查升高原因，定位到进程，IP，port。不用计算机则断开网络和路由器。
路由器记得定时重启修改密码哦！~

处理完病毒，才想起来看看病毒有没有造成什么加密事件。燃鹅，并没有。
因为虚拟机几个心（诱）爱（饵）的文件夹都是只读并且不能写入的。
原因还是 NTFS 权限设置，甚至都没有使用 NTFS 高级设置。
桌面上面没有任何保护的图片都没有篡改。看来是 SCEP的功劳了！~

下图是这个病毒在 TEMP 文件夹的一个文件夹（惹，好绕口！）。
里面可能是一个守护进程，小白不知道怎么查看守护，需要帮助！
然后我给加了 NTFS 以后（还有其他两三个），世界安静了……

————————————————————
那么，那些重武器，双击未知样本以后，你们是如何操作的呢？？
————————————————————
我的办法目前对付这个还可以，也没有使用什么高规格武器，也没有什么技术含量。
但是小白通过前期设置的系统功能搭配基准线的秒杀就可以保护文件不受妖魔鬼怪侵害，很知足哦！~
我不推荐小白使用微软系列，其功能太过简单一直于没有任何安全感，好似内裤忍者一样。
以后的事谁都说不准，没准基准线会更加智能完善，更加有力！
也可能就萎靡不振了呢~   我去还原快照，准备睡觉！
+++
o.o道高一尺魔高一丈，都努力改变吧！

wuming_bpnes

楼主成功引起了我学习手杀的兴趣

欧阳宣

防火墙这段还真不知道，学习了

mxs1988

夭寿啦！大神又在冒充小白啦！

少了一份执着

实体机干?

感谢楼主分享的经历，NTFS 权限是个好东西啊，学习了。。。
然后弱弱地说说看法，没太懂 svchost.exe 那两条记录，但如果前两个数字（2276  49xxx）指的是本地和远程端口的话。用这里http://bbs.kafan.cn/thread-610685-1-1.html里面的svchost.exe规则应该能挡下来。还有cmd.exe被病毒操作弹窗和temp下面的病毒守护进程，我会选择用IObit Unlocker来解除占用和查看被什么进程占用。病毒开机启动项也同理，如果勒索没有用漏洞进行提权的话，我觉得在楼主UAC的设置下很难不被ARK工具删除。。。被为什么楼主不直接删除它呢？

j2016

进站，可以考虑阻止“全部程序/全部TCP/全部UDP”进站。个人计算机并不会有任何问题。

从来不知道个人电脑的防火墙可以这样设置的，目前进站block了，看看这几天用的感觉

先谢谢

諾言敵不過時間

貓貓師父冒充小白!!
我喜歡這篇

HEMM

艾阁阁真是胆大心细，我都吓尿了，一般中毒我只会做两件事情，大哭和全盘格式化。

墨家小子

少了一份执着 发表于 2017-6-4 10:04
实体机干?

VBOX WINDOWS 7 x32 大胆双击