练手之经典病毒熊猫烧香分析(上)

  熊猫烧香病毒在当年可是火的一塌糊涂,感染非常迅速,算是病毒史上比较经典的案例。不过已经比较老了,基本上没啥危害,其中的技术也都过时了。作为练手项目,开始对熊猫烧香病毒进行分析。首先准备好病毒样本(看雪论坛有),VM虚拟机和Xp Sp3系统。样本参数如下:

  • 病毒名称:panda.exe
  • 文件大小:61952 bytes
  • MD5值:3520D3565273E41C9EEB04675D05DCA8
  • SHA1值:BB1D8FA7EE4E59844C1FEB7B27A73F9B47D36A0A
  • CRC32:23B6DA2A

今天说的主要是行为分析,所以还需要两个软件 ,一个是Process Monitor v3.10,一个是PCHunter。Process Monitor v3.10是微软提供的,可以监视一个进程对文件,注册表,网络和线程进程操作的工具。

PCHunter则是一个强大的ARK工具,专门对付Rootkit,我主要是想用来挂进病毒进程,发现一些隐藏的文件,和一些启动项。

首先我们在XP Sp3虚拟机中打开Process Monitor ,然后运行panda.exe病毒,这时候就开始监听熊猫烧香的一举一动。

大约运行两分钟后,我们使用PCHunter将病毒进程挂起,停止他的工作。此时你会发现进程名称不是panda.exe,而是spcolsv.exe,右键将他挂起再说。

挂起之后,将Process Monitor中的监听数据进行保存,然后我们就可以进行离线分析了。Process Monitor的强大之处在于过滤器,因为Process Monitor监听的是所有的进程,数据量太大。下面我们从进程线程,文件,注册表和网络四个方面来分析一下病毒的行为。

1.进程线程

由于我们发现进程名改变了,所以先看一下Process Monitor中的进程树,了解一下进程和线程的变化。

在上图的红框中,我们发现panda.exe启动了spcolsv.exe进程,然后spcolsv.exe有启动了三个cmd,执行的命令为:cmd.exe /c net share C$ /del /y ,cmd.exe /c net share A$ /del /y,cmd.exe /c net share admin$ /del /y ,这些cmd的命令主要是用来删除默认共享。下面我们看一下线程的情况,spcolsv.exe启动了很多的线程,来执行一些操作。

2.文件

首先看一下spcolsv.exe进程从哪来的,过滤一下panda.exe的文件操作。

可以看到panda.exe从自身分离出spcolsv.exe,然后将文件写到C:\WINDOWS\system\driver 文件夹下。然后panda.exe将spcolsv.exe启动起来。

spcolsv.exe启动起来开始进行真正的感染工作,在每个盘的根目录下复制出自身,命名为setup.exe,并生成autorun.inf文件。autorun.inf的作用是当用户打开盘符的时候,会自动运行setup.exe,实现持久性运行。同时在整个盘的每个文件夹下创建Desktop_.ini文件。

运行一会后开始感染exe文件,从下图可以看到对我电脑中的Ollydbg.exe进行了写入操作。

感染的结果变成了下图的样子。

3.注册表

病毒对注册表的操作主要干了两件事情,第一件事是加入自启动,在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键项中添加svcshare。同时通过设置

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 中的CheckedValue的键值设置为0,进行文件隐藏,防止用户查看释放的病毒。这个过程是隔一段时间就会进行一次。

第二件事是删除杀软的自启动项,其中包括卡巴斯基,迈克菲McAfee等杀软。

4.网络

从目前的分析来看,病毒将不断扫描局域网默认共享。用来在局域网 中传播。

5.编写简单的专杀工具

无论是手动杀毒还是自动杀毒,通过病毒的行为,我们主要从以下方面来杀死病毒:

  1. 结束 spcolsv.exe和setup.exe进程
  2. 删除spcolsv.exe,setup.exe,autorun.inf和Desktop_.ini文件
  3. 删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键项中的svcshare,将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue设置为1

最后使用MFC编写了一个熊猫专杀工具(Desktop_.ini暂时没删除),部分代码参考 姜晔的技术专栏

6.总结

通过行为监控的方式完成了对熊猫烧香病毒的查杀,不过还不够彻底。那些被感染的exe文件,我们还没有恢复,如果想要进一步的研究,下一节我们对病毒进行逆向,看它是如何感染的。

7.再续

  我新书《Python爬虫开发与项目实战》出版了。 这本书包括基础篇,中级篇和深入篇三个部分,不仅适合零基础的朋友入门,也适合有一定基础的爬虫爱好者进阶,如果你不会分布式爬虫,不会千万级数据的去重,不会怎么突破反爬虫,不会分析js的加密,这本书会给你惊喜。如果大家对这本书感兴趣的话,可以看一下 试读样章

时间: 2024-10-15 09:25:27

练手之经典病毒熊猫烧香分析(上)的相关文章

熊猫烧香分析报告

  分析报告   样本名 熊猫烧香 版本 原版 时间 2018-03-18 平台 Windows 7-32位   信息安全研究(病毒分析报告) 目录 1.样本概况... 2 1.1 样本信息... 2 1.2 测试环境及工具... 3 1.3 分析目标... 3 1.4 提取样本... 3 1.4.1查壳... 3 1.4.2 具体提取步骤... 3 1.4.3 提取样本... 4 2.具体行为分析... 5 2.1 主要行为... 5 2.2 分析情况总结:... 10 2.3 详细分析...

病毒木马查杀第006篇:熊猫烧香之逆向分析(中)

一.前言 上一篇文章讲解了"熊猫烧香"病毒样本的反汇编代码入口处的分析,虽然尚未研究到病毒的核心部分,但其实我们后续的分析与之前的思想是一致的.而越到核心部分,可能会遇到越来越多的API函数,结合所调用函数的参数进行分析,反而有助于我们更容易地理解病毒的行为.应当将分析出的每一个CALL函数,改为我们能够理解的名字,这往往也有助于对后续程序的理解. 二.病毒功能分析 上一篇文章的最后,我留下了三个CALL没有分析,现在进入第一个CALL,即sub_408024的内部查看一下: 图1 s

病毒木马查杀第007篇:熊猫烧香之逆向分析(下)

一.前言 这次我们会接着上一篇的内容继续对病毒进行分析.分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分支中的重要代码就执行不到了,所以我们需要采取一些策略,走完每个分支,彻底分析出病毒的行为. 二.病毒分析 现在程序执行到了loc_408171位置处: 图1 loc_408171起始处的代码 程序首先进行比较操作,由于二者都为0,所以在比较过后ZF=1,那么接下来的跳转并不执行.之后的CALL获

病毒木马查杀第005篇:熊猫烧香之逆向分析(上)

一.前言 对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段.为了节省篇幅,在这里我不打算将"熊猫烧香"进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了.一般来说,对病毒的静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg.由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作.另外,在实际分析过程中,我们可能还需要一些辅助工具,比如侦壳或脱壳程序等.为了简单起见,这次研究的"

熊猫烧香病毒分析

什么: "熊猫烧香",是一款拥有自动传播.自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件.熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的. 作者: 2006年10月16日由25岁的湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的文件传染. 病毒名称:GameSetup.exe 工具:process monitor 此软件主要功能

病毒分析(三)-利用Process Monitor对熊猫烧香病毒进行行为分析

前两次随笔我介绍了手动查杀病毒的步骤,然而仅通过手动查杀根本无法仔细了解病毒样本的行为,这次我们结合Process Monitor进行动态的行为分析. Process Monitor Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程. 有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同

第一个打击木马病毒查杀007一片:反向熊猫的分析(下一个)

        本系列文章的版权"I春天的"整个,转载请注明出处.         本文配套视频教程,请訪问"i春秋"(www.ichunqiu.com). 一.前言 这次我们会接着上一篇的内容继续对病毒进行分析. 分析中会遇到一些不一样的情况,毕竟之前的代码我们仅仅要依照流程顺序一步一步往下走,就行弄清楚病毒的行为.可是在接下来的代码中,假设依然如此,在某些分支中的重要代码就运行不到了.所以我们须要採取一些策略.走完每一个分支,彻底分析出病毒的行为. 二.病毒分析

病毒木马查杀第004篇:熊猫烧香之专杀工具的编写

一.前言 如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了.当然对于我们这次研究的对象--"熊猫烧香"来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟还没有对其进行逆向分析.所以这里仅针对我们上一篇文章所得出的结果,来进行专杀工具的编写.一般来说,专杀工具既可以用批处理实现,又可以用编程语言编写,但是现实中更多的还是用后者进行制作的,因为其更加严谨.灵活.因此我这里会使用C++来写一个简单的"熊猫烧香"专杀程序. 二.病毒行为回顾与

病毒木马查杀第008篇:熊猫烧香之病毒查杀总结

一.前言 之前用了六篇文章的篇幅,分别从手动查杀.行为分析.专杀工具的编写以及逆向分析等方面,对"熊猫烧香"病毒的查杀方式做了讨论.相信大家已经从中获取了自己想要的知识,希望大家在阅读完这几篇文章后,能够有一种"病毒也不过如此"的感觉,更希望这些文章能够为有志于在未来参与到反病毒工作的朋友,打下坚实的理论基础.以下就是我在这几篇文章的分析中所总结出来的一些知识点,分为静态分析与动态分析两个方面进行讨论,并加入了一些延伸知识,为大家查漏补缺. 二.病毒的静态分析 静态