Wireshark分析实验：一次病毒入侵报文的分析(2)

在检测报告中的低危行为中可以发现存在网络相关的行为，该恶意文件会访问timlinger.com（IP：216.37.42.32）。因此，可以通过流量包中是否包含与该地址的连接来判定恶意文件是否已经运行。

继续分析流量包，在流量包中可以发现与216.37.42.32的通信，可以断定该恶意文件已经运行。

查看通信内容，发现恶意文件Firmenkunden访问timlinger.com，与云沙箱的分析报告中的网络行为一致。

由访问timlinger.com的返回包可知，下载了另一个文件6169583.exe

把文件导出，然后放到云沙箱检测。该文件为恶意文件。

由威胁情报可知，该恶意文件也会访问一些IP地址。

发现与24.206.17.102的网络通信

发现与67.43.253.189的网络通信

通过其网络行为可知，文件已经被执行。

使用追踪流进行http报文分析

这个返回包都是乱文，本人技术有限，就不分析了。

通过查看网络通信情况确认范围，把存在病毒网络行为的计算机列为受攻击的计算机。

把受攻击的计算机断网，防止病毒进一步传播。