熊猫烧香病毒分析
1.样本概况
1.1 样本信息
病毒名称:panda
所属家族:Virus
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
病毒行为:
复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项
1、 自我复制样本到C盘、C:/Windows/driver/目录下
启动C:/Windows/driver/spo0lsv.exe
2、 在每一个目录下创建了Desktop_.ini,里边是当前日期
3、 在C盘根目录下创建autorun.inf文件,里面指定了自动启动的文件为根目录下的setup.exe
4、 对程序目录下的exe进行了感染,图标变为熊猫烧香,打开exe时,自动打开病毒
5、 设置注册表启动项为C:/Windows/driver/spo0lsv.exe
6、 设置注册表键值,隐藏文件不显示
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值
7、 自己创建一个注册表的项,在其中写入了很多信息
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32
8、 修改注册表的项IE浏览器的代理和连接设置
9、 枚举进程、查找窗口、打开设备
10、 连接局域网的一些网址,访问外面的一些网址
11、 使用cmd命令关闭网络共享
1.2 测试环境及工具
Window7 火绒剑 15PBOD PEID IDA Pro Hash
1.3 分析目标
分析病毒恶意行为及其逻辑
2.具体行为分析
2.1 主要行为
1.使用PEID查壳,发现是FSG2.0
单步跟踪,找到跳转到OEP的地址:00401D1
单步进入就是OEP,进行脱壳,脱壳后OEP如下:
2.使用IDA进行伪代码静态分析后发现,程序先初始化一些变量,然后解密并判断2次标识,如下:
2个解密字符串
如果标识错误,则退出程序
3.由于代码末尾有一个消息循环,猜测是等待代码执行完毕,程序才会退出,所以猜测如下函数为恶意代码:
释放病毒进程:
删除系统备份:
被感染二进制文件标记
4.使用OD动态跟踪,发现sub_405250为解密字符串
5.使用OD动态分析sub_40819C,发现函数主要功能复制自身到系统驱动目录下,然后执行拷贝好的程序,关键代码如下:
6.分析sub_40D18C函数,分析出函数的功能分别为:
1、创建函数进行,遍历目录创建Desktop.ini
2、设置定时器,在C盘下创建setup.exe,autorun.inf
3、一个函数创建线程,进行网络连接
7.具体分析Sub_40D18C中的sub_40A5B0函数
创建线程:
线程的回调函数中sub_409348为操作遍历目录创建Desktop.ini文件的函数:
8. 使用OD具体分析Sub_40D18C中的sub_40C374函数
并且分析定时器的回调函数,行为是在C盘下创建setup.exe和autorun.inf:
9. 使用OD具体分析Sub_40D18C中的sub_40BACC函数
创建了线程,并且在回调函数中进行了网络连接
10.对函数sub_40D088进行分析
11.由于之前的行为分析,行为中有感染文件的动作,所以在CreateFileA下断点,之后在回溯分析函数,递归创建文件的函数是sub_409348,使用OD动态调试后,得知sub_407F00是感染函数:
经过分析,感染的文件有EXE,SCR,PIF,COM
2.1.1 恶意程序对用户造成的危害
批处理感染程序
2.2 恶意代码分析
2.1 加固后的恶意代码执行流程
恶意程序中带有FSG2.0的壳,程序先执行壳的部分,然后执行程序部分
2.2 恶意程序的代码分析片段
对sub_407F00恶意代码进行详细分析
得出结论:
1、 读取原exe到内存
2、 复制病毒到感染路径,覆盖原exe
3、 在感染之后的exe上追加原exe
4、 在感染之后的exe上追加感染标识
3.解决方案
3.1 提取病毒的特征,利用杀毒软件查杀
特征包括:
1、 带有字符串“xboy” “whboy”
2、 带有字符串“武汉男生感染下载者”
3、 带有网络连接,IP为:111.206.239.19
203.188.200.67
4、 进程名称“spo0lsv.exe”
5、注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32”
3.2 手工查杀步骤
1.删除C:/Windows/driver/spo0lsv.exe
2.删除C盘根目录下的setup.exe文件
3.删除C盘根目录下的autorun.inf文件
4.删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32
5.删除注册表启动项C:/Windows/driver/spo0lsv.exe
6.恢复注册表项IE浏览器的代理和连接设置
7.对已经感染的程序(变为熊猫烧香图标)的程序进行删除
8.结束进程spo0lsv.exe