熊猫烧香病毒分析报告

熊猫烧香病毒分析报告1.样本概况1.1样本信息(1)病毒名称:spo0lsv.exe(2)所属家族:熊猫烧香(3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D(4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923(5)CRC32:E63D45D3(6)病毒行为:复制自身到系统目录下设置文件属性为隐藏,并且让…

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全家桶1年46,售后保障稳定

1.样本概况

1.1 样本信息

(1)病毒名称:spo0lsv.exe

(2)所属家族:熊猫烧香

(3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D

(4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923

(5)CRC32:E63D45D3

(6)病毒行为:

复制自身到系统目录下

设置文件属性为隐藏,并且让用户无法查看隐藏文件

修改注册表

修改启动项,开机自启动

修改PE文件

覆写PE文件

检测杀毒软件,关闭杀毒软件

删除杀毒软件启动项

通过139和445端口感染局域网的其他机器

设置定时器,每隔一段时间执行恶意行为

从指定网站下载数据包

 

1.2 测试环境及工具

测试环境:Windows 7 32位

工具:火绒剑,IDA,OD

1.3 分析目标

找到病毒行为的具体实现代码,了解病毒行为的具体实现原理,知道病毒对机器的执行具体行为,进一步评估病毒对于宿主机器的威胁程度。

2.具体行为分析

2.1 恶意程序的功能框架

第一部分:

熊猫烧香病毒分析报告

第二部分:

熊猫烧香病毒分析报告

第三部分:

熊猫烧香病毒分析报告

 

2.2 恶意程序的主要行为以及对用户的危害

(1)遍历进程、线程、模块和堆

熊猫烧香病毒分析报告

(2)检测杀毒软件

病毒会检测当时比较流行的一些杀毒软件,包括McAfee、金山毒霸、冰刃、江民、瑞星以及卡巴斯基等杀毒软件。

熊猫烧香病毒分析报告

各个杀毒软件的可执行程序名称

熊猫烧香病毒分析报告

(3)删除杀毒软件在注册表中的值

通过火绒剑能观察到病毒每隔一段时间就有检测并且删除杀毒软件在注册表中的自启动选项。

熊猫烧香病毒分析报告

(4)修改注册表,添加自身到自启动列表中

病毒将文件属性设置为隐藏,无法通过文件夹属性设置把隐藏文件和文件夹显示出来,同时把自身的一个可执行程序加入到启动项中,使其能够开机自启动。

熊猫烧香病毒分析报告

修改注册表项的值

熊猫烧香病毒分析报告

删除自启动

熊猫烧香病毒分析报告

(5)有网络相关操作,从指定地址下载文件

关键API为URLDownloadToFileA,该API能够从指定URL读取内容并保存到指定文件中。

(6)运行inf配置文件

在autorun.inf文件中会启动setup.exe,setup.exe会进行后续其他操作。

熊猫烧香病毒分析报告

(7)通过CMD命令取消系统中的共享

熊猫烧香病毒分析报告

(8)修改宿主机器中的文件,更换文件图标

熊猫烧香病毒分析报告

(9)修改PE文件内容

PE文件的内容被更改,中间插入了部分代码。

将最后的内容修改成:"WhBoy"+文件名+".exe"+随机值。

熊猫烧香病毒分析报告

修改文件内容结尾,可通过010editor查看

熊猫烧香病毒分析报告

(9)病毒自校验

在关键主体函数执行前有字符串的校验,校验通过后才会执行下面三个关键主体函数

熊猫烧香病毒分析报告

三个关键函数

熊猫烧香病毒分析报告

(10)复制文件,运行程序

程序会在C:\Windows\System32\drivers这个目录下拷贝一个文件,文件名为spo0lsv.exe。

复制文件到指定目录下

熊猫烧香病毒分析报告

 

已复制的文件

熊猫烧香病毒分析报告

在拷贝文件完成之后,病毒就会利用WinExec来运行指定的应用程序,之后spo0lsc.exe就会被运行起来,原来的进程会被结束。

熊猫烧香病毒分析报告

(11)设置定时器

第二个关键函数中有一个定时器,第三个关键函数中有三个定时器,一共用到了7个定时器。

熊猫烧香病毒分析报告

熊猫烧香病毒分析报告

第一个定时器:

判断每个盘的根目录下是否存在autorun.inf和setup.exe,若不存在,创建autorun.inf文件并且填充内容;复制setup.exe,设置两个文件属性为隐藏。

熊猫烧香病毒分析报告

配置文件的内容

熊猫烧香病毒分析报告

第二个定时器:

通过遍历窗口结束指定进程,一旦检测到其中任意一个窗口存在,就会将其关闭。若想查看进程,需要用到tasklist命令,结束进程可以用taskkill命令。

熊猫烧香病毒分析报告

第三个定时器:

通过连接网络来更新,从网上下载数据。

熊猫烧香病毒分析报告

第四个定时器:

通过命令行,实现关闭共享。

熊猫烧香病毒分析报告

第五个定时器:

使一系列的杀毒软件启动项设置失效,保护自身不被杀毒软件检测出来

熊猫烧香病毒分析报告

第六个和第七个定时器:

通过网络访问相关API来从网络上获取数据。

熊猫烧香病毒分析报告

 

3.解决方案

3.1 提取病毒的特征,利用杀毒软件查杀

病毒特征:

  1. 字符串:

***武*汉*男*生*感*染*下*载*者***

Whboy

3.2 手工查杀步骤

(1)结束进程spo0lsv.exe,可通过cmd命令tasklist和taskkill结束进程

(2)在cmd中输入msconfig打开启动项管理,把svcshare这个启动项关闭

(3)打开注册表,找到:

HKLM\Microsoft\Windows\CurrentVersion\Explore/Advanced/Folder\Hidden\SHOWALL\CheckValue

将CheckValue的值设置为1

(4)在资源管理器中设置显示隐藏文件,把autorun.inf和autorun.exe删除

(5)在C:\Windows\system32\drivers\目录下找到spo0lsv.exe,删除文件

(6)清除每个盘符下的Desktop.ini

 

搜索关注公众号[逆向小生],不定期更新逆向工程师需要掌握的技能,包括Windows和Android方面的逆向,还有作为一个逆向工程师的思维模式。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/206714.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号