您的位置: 首页  >  文章  >  熊猫烧香病毒分析

熊猫烧香病毒分析

分类: 文章 2024-10-03 09:28:34

1.样本概况

1.1 样本信息

病毒名称:panda
所属家族:Virus
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
病毒行为:
  复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项
    1、 自我复制样本到C盘、C:/Windows/driver/目录下
启动C:/Windows/driver/spo0lsv.exe
    2、 在每一个目录下创建了Desktop_.ini,里边是当前日期
    3、 在C盘根目录下创建autorun.inf文件,里面指定了自动启动的文件为根目录下的setup.exe
    4、 对程序目录下的exe进行了感染,图标变为熊猫烧香,打开exe时,自动打开病毒
    5、 设置注册表启动项为C:/Windows/driver/spo0lsv.exe
    6、 设置注册表键值,隐藏文件不显示
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值
    7、 自己创建一个注册表的项,在其中写入了很多信息
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32
    8、 修改注册表的项IE浏览器的代理和连接设置
    9、 枚举进程、查找窗口、打开设备
    10、 连接局域网的一些网址,访问外面的一些网址
    11、 使用cmd命令关闭网络共享

1.2 测试环境及工具

  Window7 火绒剑 15PBOD PEID IDA Pro Hash

1.3 分析目标

  分析病毒恶意行为及其逻辑

2.具体行为分析

2.1 主要行为

1.使用PEID查壳,发现是FSG2.0
  单步跟踪,找到跳转到OEP的地址:00401D1
熊猫烧香病毒分析
单步进入就是OEP,进行脱壳,脱壳后OEP如下:
熊猫烧香病毒分析
2.使用IDA进行伪代码静态分析后发现,程序先初始化一些变量,然后解密并判断2次标识,如下:
熊猫烧香病毒分析
2个解密字符串
熊猫烧香病毒分析
如果标识错误,则退出程序
3.由于代码末尾有一个消息循环,猜测是等待代码执行完毕,程序才会退出,所以猜测如下函数为恶意代码:
熊猫烧香病毒分析
释放病毒进程:
熊猫烧香病毒分析
删除系统备份:
熊猫烧香病毒分析
被感染二进制文件标记
熊猫烧香病毒分析
4.使用OD动态跟踪,发现sub_405250为解密字符串
熊猫烧香病毒分析
5.使用OD动态分析sub_40819C,发现函数主要功能复制自身到系统驱动目录下,然后执行拷贝好的程序,关键代码如下:
熊猫烧香病毒分析
熊猫烧香病毒分析熊猫烧香病毒分析
6.分析sub_40D18C函数,分析出函数的功能分别为:
  1、创建函数进行,遍历目录创建Desktop.ini
  2、设置定时器,在C盘下创建setup.exe,autorun.inf
  3、一个函数创建线程,进行网络连接
熊猫烧香病毒分析
7.具体分析Sub_40D18C中的sub_40A5B0函数
创建线程:
熊猫烧香病毒分析
线程的回调函数中sub_409348为操作遍历目录创建Desktop.ini文件的函数:
熊猫烧香病毒分析
8. 使用OD具体分析Sub_40D18C中的sub_40C374函数
熊猫烧香病毒分析熊猫烧香病毒分析
并且分析定时器的回调函数,行为是在C盘下创建setup.exe和autorun.inf:熊猫烧香病毒分析熊猫烧香病毒分析
9. 使用OD具体分析Sub_40D18C中的sub_40BACC函数
熊猫烧香病毒分析
创建了线程,并且在回调函数中进行了网络连接
熊猫烧香病毒分析
10.对函数sub_40D088进行分析
熊猫烧香病毒分析
11.由于之前的行为分析,行为中有感染文件的动作,所以在CreateFileA下断点,之后在回溯分析函数,递归创建文件的函数是sub_409348,使用OD动态调试后,得知sub_407F00是感染函数:
熊猫烧香病毒分析
经过分析,感染的文件有EXE,SCR,PIF,COM
熊猫烧香病毒分析

2.1.1 恶意程序对用户造成的危害

熊猫烧香病毒分析
批处理感染程序
熊猫烧香病毒分析

2.2 恶意代码分析

2.1 加固后的恶意代码执行流程

恶意程序中带有FSG2.0的壳,程序先执行壳的部分,然后执行程序部分

2.2 恶意程序的代码分析片段

对sub_407F00恶意代码进行详细分析
熊猫烧香病毒分析
得出结论:
  1、 读取原exe到内存
  2、 复制病毒到感染路径,覆盖原exe
  3、 在感染之后的exe上追加原exe
  4、 在感染之后的exe上追加感染标识

3.解决方案

3.1 提取病毒的特征,利用杀毒软件查杀

特征包括:
  1、 带有字符串“xboy” “whboy”
  2、 带有字符串“武汉男生感染下载者”
  3、 带有网络连接,IP为:111.206.239.19
              203.188.200.67
  4、 进程名称“spo0lsv.exe”
  5、注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32”

3.2 手工查杀步骤

  1.删除C:/Windows/driver/spo0lsv.exe
  2.删除C盘根目录下的setup.exe文件
  3.删除C盘根目录下的autorun.inf文件
  4.删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32
  5.删除注册表启动项C:/Windows/driver/spo0lsv.exe
  6.恢复注册表项IE浏览器的代理和连接设置
  7.对已经感染的程序(变为熊猫烧香图标)的程序进行删除
  8.结束进程spo0lsv.exe

相关推荐