其他分享
首页 > 其他分享> > 熊猫烧香变种病毒_分析报告

熊猫烧香变种病毒_分析报告

作者:互联网

 

 

 

 

 

 

 

 

 

 

分析报告

 

 

 

 

 

 

 

样本名

xiongmao.exe

班级

34期

作者

缪甜

时间

2019年9月28日15:45:44

平台

Windows 7 32 bit

 

 

 

 

 

 

15PB信息安全研究院(病毒分析报告)

1样本概况

1.1 样本信息

病毒名称:熊猫烧香

MD5值:512301C535C88255C9A252FDF70B7A03

SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32:E334747C

病毒行为:感染exe,scr,pif,com,htm,html,asp,php,jsp,aspx类型的文件,

局域网传播病毒,注册表写入启动项,关闭共享,下载指定文件并运行

1.2 测试环境及工具

测试环境:win7 32 bit

工具:loadPe,IDA,OD,Pchunter,火绒剑

1.3 分析目标

根据病毒行为,编写专杀工具

2. 主要行为

 

 

 

IDA里面,源代码为如下

 

2.1恶意程序对用户造成的危害() 

 

 

感染可执行文件,以及网页文件插入一行代码,局域网传播病毒

2.2 恶意代码分析

 

一开始是解密字符串,比较是否退出进程

 

 

然后是关键的三个函数

 

 

  1. 将文件拷贝到系统目录下

 

1.判断进程目录下是否有Desktop_ini文件,有则删除

 

 

  1. 判断该本进程文件是否在系统目录下

 

 

如果不在系统目录下,就拷贝病毒文件到系统目录下并运行,退出本进程

 

 

 

如果在系统目录下,就清空字符串退出该函数

 

 

 

 

2.设置线程感染

 

 

1.开启线程:

 

 

遍历磁盘,找到C盘遍历文件

 

 

开始遍历

1.遇到便跳过

 

 

 

2.查找是否有Desktop_.ini文件,如果有就获取时间进行对比,对比成功则继续查找下一个文件

 

 

 

对比发现不同则重新获取替换,再继续遍历文件

 

 

如果文件不存在,创建该文件,拼接入最新文件时间,再继续遍历

 

 

 

 

 

 

 

3.判断是否为文件而非文件夹,比较后缀名

 

 

遇到GHO文件时,删除该文件

 

 

遇到setup.exe,NTDETECT.con文件时跳过

 

 

 

遇到exe,scr,pif,com文件时,就拷贝一份到内存,搜索是否有whboy字符串,如果有,说明已经被感染,跳过,如果没有,将病毒文件覆盖原文件后,并追加原文件和标记字符串

 

遇到文件

 

 

2.创建一个定时器,每6秒执行一次

 

判断C盘根目录下setup.exe是否存在

 

 

不存在则创建,将病毒文件拷入该文件

 

 

 

autorun.inf文件是否存在

 

 

若不存在则创建,将写入“[AutoRun]OPEN=setup.exeshellexecute=setup.exe

shell\Auto\command=setup.exe”并更改这两个文件的文件属性,改为隐藏

 

3.创建10个线程,感染局域网

 

 

3.设置定时器

创建了六个定时器:

 

 

定时器1,每隔1秒执行一次

 

创建线程,关闭杀毒软件以及一些进程,设置启动项并隐藏

 

 

创建线程,关闭杀毒软件

 

 

关闭一些进程

 

 

定时器2,间隔20分钟执行一次,创建线程,下载指定文件并运行

 

 

 

 

解密字符串,"http://www.ac86.cn/66/up.txt"

 

 

 

 

 

 

定时器3,间隔10秒执行一次,创建两个线程,线程1同定时器2,下载指定文件并执行

线程2删除共享

 

 

 

 

定时器4,间隔6秒执行一次,创建一个线程,关闭,删除一些安全软件相关的服务,删除安全软件启动项

 

 

 

定时器5,间隔10秒执行,访问一些网站

 

 

定时器6,间隔30分钟执行一次

下载文件并运行:http://www.update.whboy.net/worm.txt

 

 

3.解决方案(或总结)

3.1 提取病毒的特征,利用杀毒软件查杀

特征字符串:Whboy

 

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

查杀思路:

  1. 删除注册表启动项
  2. 删除C:\Windows\System32\drivers\spo0lsv.exe文件
  3. 关闭网络连接
  4. 遍历文件读取文件内容到内存,通过特征码查看是否感染,感染就恢复文件

 

 

 

 

 

 

 

 

 

致     谢 

感谢黄老师的悉心指点

 

 

标签:文件,定时器,变种,创建,烧香,exe,线程,熊猫,病毒
来源: https://www.cnblogs.com/mtbook/p/11719151.html