恶意软件-技术分析

恶意软件-技术分析

注意:请不要降低或关闭。我不是一个愚蠢的 PC 用户,只是想修复我的 PC 问题。我很好奇,并且正在从技术上深入研究发生了什么。

我遇到过一台正在发送不必要的 p2p 流量的 Windows XP 机器。

我执行了“netstat -b”命令,explorer.exe 正在发送流量。当我终止此进程时,流量停止,显然 Windows 资源管理器会死机。

这是来自 Wireshark 转储 (xxxx) 的流的标题,是机器的 IP。

GNUTELLA CONNECT/0.6
Listen-IP: x.x.x.x:8059
Remote-IP: 76.164.224.103
User-Agent: LimeWire/5.3.6
X-Requeries: false
X-Ultrapeer: True
X-Degree: 32
X-Query-Routing: 0.1
X-Ultrapeer-Query-Routing: 0.1
X-Max-TTL: 3
X-Dynamic-Querying: 0.1
X-Locale-Pref: en
GGEP: 0.5
Bye-Packet: 0.1

GNUTELLA/0.6 200 OK
Pong-Caching: 0.1
X-Ultrapeer-Needed: false
Accept-Encoding: deflate
X-Requeries: false
X-Locale-Pref: en
X-Guess: 0.1
X-Max-TTL: 3
Vendor-Message: 0.2
X-Ultrapeer-Query-Routing: 0.1
X-Query-Routing: 0.1
Listen-IP: 76.164.224.103:15649
X-Ext-Probes: 0.1
Remote-IP: x.x.x.x
GGEP: 0.5
X-Dynamic-Querying: 0.1
X-Degree: 32
User-Agent: LimeWire/4.18.7
X-Ultrapeer: True
X-Try-Ultrapeers: 121.54.32.36:3279,173.19.233.80:3714,65.182.97.15:5807,115.147.231.81:9751,72.134.30.181:15810,71.59.97.180:24295,74.76.84.250:25497,96.234.62.221:32344,69.44.246.38:42254,98.199.75.23:51230

GNUTELLA/0.6 200 OK

因此,看起来恶意软件已经挂接到 explorer.exe 中并且很好地隐藏了自己,因为 Norton Scan 没有发现任何东西。

我查看过 Windows 防火墙,它不应该让这些流量通过。

我查看了 explorer.exe 在 Spy++ 中发送的消息,我能看到的唯一相关消息是套接字连接等......

我的问题是,我可以做些什么来更深入地研究这个问题?恶意软件通过发送 p2p 流量可以实现什么目的?

我知道解决这个问题最简单的方法是重新安装 Windows,但出于兴趣,我想先彻底弄清楚它。

编辑:

看了一下 Deoendency Walker 和 Process Explorer。

这两个工具都很棒。下面是 Process Explorer 中 explorer.exe 的 TCP 连接图像:

在此处输入图片描述

答案1

该木马很可能正在使用 p2p 网络作为命令和控制通道。由于 p2p 完全是关于分发的,因此没有可以关闭的单点来关闭僵尸网络。

您所看到的可能就是您的宠物机器人正在寻找订单。

一个值得进一步研究的想法是运行依赖行走者在explore.exe上查看它拉入了哪些dll,其中一个可能是机器人。

答案2

该恶意软件可能正在挂接至 explorer.exe。

尝试使用 Sysinternals 的 Processexplorer 来了解更多信息: http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Sysinternals 也有一个 rootkitscanner,可以定位隐藏文件/注册表项。

答案3

我尝试消灭该恶意软件并且我认为成功了。

请搜索C:\Windows\halperf10.exe或任何.exe具有与其相似的相对较新的时间戳的文件。

相关内容