在检测报告中的低危行为中可以发现存在网络相关的行为,该恶意文件会访问timlinger.com(IP:216.37.42.32)。因此,可以通过流量包中是否包含与该地址的连接来判定恶意文件是否已经运行。
2.5根据网络行为分析是否执行成功
继续分析流量包,在流量包中可以发现与216.37.42.32的通信,可以断定该恶意文件已经运行。
查看通信内容,发现恶意文件Firmenkunden访问timlinger.com,与云沙箱的分析报告中的网络行为一致。
三、第二个可疑文件
由访问timlinger.com的返回包可知,下载了另一个文件6169583.exe
3.1分析文件
把文件导出,然后放到云沙箱检测。该文件为恶意文件。
由威胁情报可知,该恶意文件也会访问一些IP地址。
3.2根据网络行为分析是否执行成功
发现与24.206.17.102的网络通信
发现与67.43.253.189的网络通信
通过其网络行为可知,文件已经被执行。
3.3使用追踪流查看完整对话使用追踪流进行http报文分析
这个返回包都是乱文,本人技术有限,就不分析了。
四、防御手段 4.1确实受攻击的范围
通过查看网络通信情况确认范围,把存在病毒网络行为的计算机列为受攻击的计算机。
4.2遏制病毒扩散把受攻击的计算机断网,防止病毒进一步传播。
4.3清除病毒