大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。
Jetbrains全家桶1年46,售后保障稳定
1.样本概况
1.1 样本信息
(1)病毒名称:spo0lsv.exe
(2)所属家族:熊猫烧香
(3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D
(4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923
(5)CRC32:E63D45D3
(6)病毒行为:
复制自身到系统目录下
设置文件属性为隐藏,并且让用户无法查看隐藏文件
修改注册表
修改启动项,开机自启动
修改PE文件
覆写PE文件
检测杀毒软件,关闭杀毒软件
删除杀毒软件启动项
通过139和445端口感染局域网的其他机器
设置定时器,每隔一段时间执行恶意行为
从指定网站下载数据包
1.2 测试环境及工具
测试环境:Windows 7 32位
工具:火绒剑,IDA,OD
1.3 分析目标
找到病毒行为的具体实现代码,了解病毒行为的具体实现原理,知道病毒对机器的执行具体行为,进一步评估病毒对于宿主机器的威胁程度。
2.具体行为分析
2.1 恶意程序的功能框架
第一部分:
第二部分:
第三部分:
2.2 恶意程序的主要行为以及对用户的危害
(1)遍历进程、线程、模块和堆
(2)检测杀毒软件
病毒会检测当时比较流行的一些杀毒软件,包括McAfee、金山毒霸、冰刃、江民、瑞星以及卡巴斯基等杀毒软件。
各个杀毒软件的可执行程序名称
(3)删除杀毒软件在注册表中的值
通过火绒剑能观察到病毒每隔一段时间就有检测并且删除杀毒软件在注册表中的自启动选项。
(4)修改注册表,添加自身到自启动列表中
病毒将文件属性设置为隐藏,无法通过文件夹属性设置把隐藏文件和文件夹显示出来,同时把自身的一个可执行程序加入到启动项中,使其能够开机自启动。
修改注册表项的值
删除自启动
(5)有网络相关操作,从指定地址下载文件
关键API为URLDownloadToFileA,该API能够从指定URL读取内容并保存到指定文件中。
(6)运行inf配置文件
在autorun.inf文件中会启动setup.exe,setup.exe会进行后续其他操作。
(7)通过CMD命令取消系统中的共享
(8)修改宿主机器中的文件,更换文件图标
(9)修改PE文件内容
PE文件的内容被更改,中间插入了部分代码。
将最后的内容修改成:"WhBoy"+文件名+".exe"+随机值。
修改文件内容结尾,可通过010editor查看
(9)病毒自校验
在关键主体函数执行前有字符串的校验,校验通过后才会执行下面三个关键主体函数
三个关键函数
(10)复制文件,运行程序
程序会在C:\Windows\System32\drivers这个目录下拷贝一个文件,文件名为spo0lsv.exe。
复制文件到指定目录下
已复制的文件
在拷贝文件完成之后,病毒就会利用WinExec来运行指定的应用程序,之后spo0lsc.exe就会被运行起来,原来的进程会被结束。
(11)设置定时器
第二个关键函数中有一个定时器,第三个关键函数中有三个定时器,一共用到了7个定时器。
第一个定时器:
判断每个盘的根目录下是否存在autorun.inf和setup.exe,若不存在,创建autorun.inf文件并且填充内容;复制setup.exe,设置两个文件属性为隐藏。
配置文件的内容
第二个定时器:
通过遍历窗口结束指定进程,一旦检测到其中任意一个窗口存在,就会将其关闭。若想查看进程,需要用到tasklist命令,结束进程可以用taskkill命令。
第三个定时器:
通过连接网络来更新,从网上下载数据。
第四个定时器:
通过命令行,实现关闭共享。
第五个定时器:
使一系列的杀毒软件启动项设置失效,保护自身不被杀毒软件检测出来
第六个和第七个定时器:
通过网络访问相关API来从网络上获取数据。
3.解决方案
3.1 提取病毒的特征,利用杀毒软件查杀
病毒特征:
- 字符串:
***武*汉*男*生*感*染*下*载*者***
Whboy
3.2 手工查杀步骤
(1)结束进程spo0lsv.exe,可通过cmd命令tasklist和taskkill结束进程
(2)在cmd中输入msconfig打开启动项管理,把svcshare这个启动项关闭
(3)打开注册表,找到:
HKLM\Microsoft\Windows\CurrentVersion\Explore/Advanced/Folder\Hidden\SHOWALL\CheckValue
将CheckValue的值设置为1
(4)在资源管理器中设置显示隐藏文件,把autorun.inf和autorun.exe删除
(5)在C:\Windows\system32\drivers\目录下找到spo0lsv.exe,删除文件
(6)清除每个盘符下的Desktop.ini
搜索关注公众号[逆向小生],不定期更新逆向工程师需要掌握的技能,包括Windows和Android方面的逆向,还有作为一个逆向工程师的思维模式。
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/206714.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...