卷土重来——局域网监听1026端口病毒排查思路分享

选择字号：超大标准技术小哥发布于2016年08月12日属于解决方案分享栏目 0个评论 9223人浏览

【涉及知识点】

processexplorer、processmonitor、windowsmonitor程序使用、进程结构基础知识、程序网络通讯基础知识

【问题环境】

江苏+一卡通计费

【问题描述】

客户机开机就看到有运行一段VBS脚本然后下载一个bugerpor.exe到C:\Users\Administrator\AppData\Roaming路径下

【思路分析】

首先看到windowsmonitor抓过来的日志中是ospp.vbs 192.168.0.188：1026，这里的时候怀疑是要向0.188机器1026端口访问获取文件，根据vbs内容为/www/bugreport.exe，根据这个线索我们尝试访问了下这个url信息

果然程序是可以直接下载的，然后运行了。这个符合了局域网传播的技术手段。根据这一线索我们去机器上寻找1026端口监听的PID程序，使用netstat -ao命令然后find出1026的端口程序，发现是PID为3252名为dllhost.exe的程序。首先这个程序是微软自带的程序，并非第三方应用。我们顺着这个继续往上查！

这里提醒大家一下，如果windowsmonitor抓到父进程为0或者父进程名称为0则意思是返回信息错误，所以不可参照这两项，只能参照父进程PID，根据这个信息再找其他线索

查到这里我们重新梳理了下思路

这里面很好奇的是为什么Wmiprvse.exe会去执行cmd命令，我检查了下客户机的系统发现其服务是被开启状态。一般网吧系统不会去启动这个服务！

现在木马的思路是宿体监听1026端口来提供木马下载，放风的来执行。wmi程序默认怎么会去执行vbs，在翻阅了资料后发现有可能是开机时候已经拿到了system权限然后运行的。因为这台机器我已经检查过启动入口、组策略、服务都没有异常，加上vbs是通过局域网端口，现在就怀疑是通过局域网高危端口提权完成的。检查系统server服务、找个客户机telnet 135端口，果然都是开启状态。