三、运行病毒
1、瑞星被终结
分析完毕,然后双击yanmenzhao.exe看看中毒症状。为了分析病毒的运行状况,事先打开了瑞星的“实时监控”和“任务管理器”,以观察病毒运行状态。运行后瑞星没有任何提示,任务栏中的瑞星实时监控图标消失,看来瑞星被终结了。另外,在任务管理中出现了一个cscript.exe进程见图6,很快地闪动,鼠标无法选择结束,大概几秒钟后该进程消失,在进程管理器中有多了2个svchost.exe进程见图7。(笔者在测试前备份了进程表,以前的为5个,多了2个)(图6)(图7)
2、可疑的网络连接
在命令提示符下敲入命令:
| netstat -ano |
查看网络端口连接情况,果然发现了两个可疑IP地址的端口连接:(图8)
| TCP 192.168.131.72:1098 116.20.215.181:8008 ESTABLISHED 1916 TCP 192.168.131.72:1099 116.20.215.181:2630 ESTABLISHED 424 |
这两个连接正好是刚才创建的两个svchost.exe进程创建的。其中的IP 116.20.215.181应该是攻击者的IP或者是一个中转IP。打开www.ip138.com查询,得知是广东省佛山市电信。(图9)
