熊猫烧香分析报告

 

分析报告

 


样本名


熊猫烧香


版本


原版


时间


2018-03-18


平台


Windows 7-32

 

信息安全研究(病毒分析报告)

目录

1.样本概况... 2

1.1 样本信息... 2

1.2 测试环境及工具... 3

1.3 分析目标... 3

1.4 提取样本... 3

1.4.1查壳... 3

1.4.2 具体提取步骤... 3

1.4.3 提取样本... 4

2.具体行为分析... 5

2.1 主要行为... 5

2.2 分析情况总结:... 10

2.3 详细分析... 11

3.解决方案... 25

3.1 手工查杀步骤或是工具查杀步骤或是查杀思路等。... 25

1.样本概况

1.1 样本信息

病毒名称:   熊猫烧香

所属家族:   感染性病毒(Virus) /蠕虫病毒(Worm)

大小:             30001 bytes

MD5值:       512301C535C88255C9A252FDF70B7A03

SHA1值:     CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32:      E334747C

病毒行为:   复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项

1.2 测试环境及工具

Win7 32位、OD/IDA/x64DBG/火绒剑/ExeiofoPE/

1.3 分析目标

分析病毒永久驻留方式,感染的方式,网络连接,病毒的恶意行为

1.4 提取样本

1.4.1查壳

Exeinfo 可查是该程序是FSG壳,FSG是压缩壳,稍后对它进行手动脱壳

1.4.2 具体提取步骤

使用APK工具(PC-Hunter)查看可疑进程

查看启动项(注册表,计划任务等)

查看驱动模块,服务未发现可疑项

查看一下其他的杂项,网络连接等

使用抓包工具(WSExplorer)查看可疑流量

1.4.3 提取样本

从上面启动项可以看到,病毒自我复制了一个文件到C:\Windows\System32\drivers目录下

将它提取出来,重命名后缀为vir,以供下一步具体分析。

2.具体行为分析

这个环节的目标是分析样本的行为,尽可能全面发现恶意行为

方法概述:

获取样本后,使用监控工具(火绒剑)监控样本的运行。

分析监控到的日志,主要观察的点有:

1, 文件操作,主要看文件创建、修改、删除等操作

2, 注册表操作,主要看注册表设置、创建等操作

3, 进程操作,主要看创建进程,写入内存等操作

4, 网络操作,主要看网络连接地址,IP等信息

5, 其他行为,以及自己观察样本虚拟机内运行后的反应

2.1 主要行为

分析监控到的日志

1. 文件操作,主要看文件创建,修改,删除等操作,设置监控的行为(动作),只查看文件操作的关键行为:

将样本vir文件直接拖进火绒剑内:

可以发现样本创建了一些文件,观察文件,有一些文件与样本大小一致,猜测是复制的样本,感染了很多exe文件

2. 注册表过滤,主要看注册表设置,创建等:

3. 进程操作,主要看创建进程,写入内存操作,对监控工具进行过滤:

查看过滤后的结果:

4. 网络操作,主要看网络链接地址,IP等信息,首先对监控工具进行过滤设置:

5. 其他行为,人肉看样本运行后的反应,其他行为,人肉看样本运行后的反应

查看结果,发现样本擦混改建了许多Desktop_ini文件,感染了许多exe,而且exe 的图标已经变成了熊猫烧香

设置监控工具,只查看执行监控,可以发现cmd进程的创建:

2.2 分析情况总结:

分析监控的日志以及人肉之后,可以分析出样本的恶意行为:

  1. 自我复制样本到C盘:C:\Windows\System32目录下,

启动C:\Windows\System32\drivers\spo01.exe(即样本)

  1. 在每一个目录下创建了一个Dosktop_.ini,里面是当前日期
  2. 在C盘根目录下创建了autorun.inf文件,里面指定了自动启动的文件为根目录下的setup.exe(即样本)
  3. 对程序目录下的exe进行了感染,图标变为熊猫烧香,打开exe时,自动打开病毒
  4. 设置注册表启动项为:C:/Windows/driver/spo01sv.exe
  5. 设置注册表键值,隐藏文件不显示
  6. 自己创建了一个注册表的项,在其中写入了很多信息

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo01sv_RASAPI32

  7. 枚举进程,查找窗口,打开设备
  8. 连接局域网的一些地址,访问外面的一些网址

10. 使用cmd命令关闭了网络共享

2.3 详细分析

通过以上分析可以知道恶意代码的一些恶意行为,想要获取更加详细的行为需要使用IDA或是OD分析样本

详细分析过程:

上面用Exeinfo查看到此程序是FSG2.0的压缩壳,以下进行手动脱壳:

单步运行到0x00401D1,此处jmp 的就是OEP,F7单步步入,在此处dump程序,然后修复IAT即可。

脱过壳后的程序使用Peid深度扫描可以识别出程序是使用delphi编译的:

导入签名后,采用OD/Ida,动静结合的方法分析恶意代码;

先使用IDA的F5快捷键查看下伪c代码,先对此程序有一个大约的框架。

根据伪C代码,可以发现OEP函数一开始全是初始化变量,调用的第一个函数sub_405250,参数中有字符串“xboy”,而另一次调用中,参数有字符串“whboy”,在调用sub_405250函数后,有LStrCmp字符串比较函数的调用,之后就是判断返回值的代码,可以猜测函数sub_405250应该是解密字符串函数。

剩下的三个sub_xxx开头的函数应该是恶意代码函数,在这个代码的末尾有一个消息循环,猜测是等待恶意代码执行完毕后,函数才退出(稍后再OD中验证此推测)。

所以OEP函数可以分为四部分:

动态跟踪验证对sub_405250函数的猜测,发现堆栈中解密字符串,跟踪调用完函数之后,LStrCmp函数的参数是解密的字符串与全局变量字符串:

由此可以确定sub_405250函数确实是一个解密字符串函数:

在IDA中对sub_405250函数名进行修改:

然后分析剩下的几个执行恶意代码的函数:

sub_40819c函数分析:

复制了自己到系统驱动目录下,然后

sub_40D18C函数分析:

sub_40A5B0:

在回调函数内分析,此函数在遍历目录,并在感染后的文件夹内创建标记文件Desktop.ini

如果文件是GHO(备份),则将其删除:

Sub_40C374:

进入回调函数查看:

第三个函数sub_40D088:

这个函数中创建线程,进行网络连接:

调用了6个定时器:

第一个定时器(一秒触发一次):

设置了文件隐藏属性:

OpenProcessToken获取访问令牌;

利用LookupPrivilegeValueA可以获取本地唯一标识符(LUID)

OpenProcessToke和LookupPrivilegeValueA获取的信息被AdjustTokenPrivileges利用,进行提权:

发现是在检查是否有杀毒软件,如果有,则让其关闭

均采用此方法分析可知:

第二个定时器(20分钟触发一次):

从http://wangma.9966.org/down.txt网站读取到网页源代码并且运行代码

第三个定时器(10秒触发一次):

调用如下命令来删除共享:

cmd.exe /c net share C$ /del /y

cmd.exe /c net share A$ /del /y

cmd.exe /c net share admin$ /del /y

第四个定时器(6秒触发一次):

第五个定时器(10秒触发一次):

打开解密之后的网页:

第六个定时器(30分钟触发一次):

又是在下载恶意代码:

至此,分析基本结束。

3.解决方案

3.1 手工查杀步骤或是工具查杀步骤或是查杀思路等。

1、删除【C:\Windows\System32\drivers\spcolsv.exe】文件

2、删除【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer

sion\Run】键项的svcshare

3、删除每个盘符根目录下生成两个文件【autorun.inf和setup.exe】文件

4、设置【HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Advanced\Folder\Hidden\SHOWALL】,CheckedValue的键值设置为1(显示隐藏文件)

原文地址:https://www.cnblogs.com/by-clark/p/9126850.html

时间: 2024-10-09 07:04:14

熊猫烧香分析报告的相关文章

练手之经典病毒熊猫烧香分析(上)

熊猫烧香病毒在当年可是火的一塌糊涂,感染非常迅速,算是病毒史上比较经典的案例.不过已经比较老了,基本上没啥危害,其中的技术也都过时了.作为练手项目,开始对熊猫烧香病毒进行分析.首先准备好病毒样本(看雪论坛有),VM虚拟机和Xp Sp3系统.样本参数如下: 病毒名称:panda.exe 文件大小:61952 bytes MD5值:3520D3565273E41C9EEB04675D05DCA8 SHA1值:BB1D8FA7EE4E59844C1FEB7B27A73F9B47D36A0A CRC32

病毒木马查杀第006篇:熊猫烧香之逆向分析(中)

一.前言 上一篇文章讲解了"熊猫烧香"病毒样本的反汇编代码入口处的分析,虽然尚未研究到病毒的核心部分,但其实我们后续的分析与之前的思想是一致的.而越到核心部分,可能会遇到越来越多的API函数,结合所调用函数的参数进行分析,反而有助于我们更容易地理解病毒的行为.应当将分析出的每一个CALL函数,改为我们能够理解的名字,这往往也有助于对后续程序的理解. 二.病毒功能分析 上一篇文章的最后,我留下了三个CALL没有分析,现在进入第一个CALL,即sub_408024的内部查看一下: 图1 s

病毒木马查杀第007篇:熊猫烧香之逆向分析(下)

一.前言 这次我们会接着上一篇的内容继续对病毒进行分析.分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分支中的重要代码就执行不到了,所以我们需要采取一些策略,走完每个分支,彻底分析出病毒的行为. 二.病毒分析 现在程序执行到了loc_408171位置处: 图1 loc_408171起始处的代码 程序首先进行比较操作,由于二者都为0,所以在比较过后ZF=1,那么接下来的跳转并不执行.之后的CALL获

病毒木马查杀第005篇:熊猫烧香之逆向分析(上)

一.前言 对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段.为了节省篇幅,在这里我不打算将"熊猫烧香"进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了.一般来说,对病毒的静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg.由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作.另外,在实际分析过程中,我们可能还需要一些辅助工具,比如侦壳或脱壳程序等.为了简单起见,这次研究的"

熊猫烧香病毒分析

什么: "熊猫烧香",是一款拥有自动传播.自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件.熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的. 作者: 2006年10月16日由25岁的湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的文件传染. 病毒名称:GameSetup.exe 工具:process monitor 此软件主要功能

病毒分析(三)-利用Process Monitor对熊猫烧香病毒进行行为分析

前两次随笔我介绍了手动查杀病毒的步骤,然而仅通过手动查杀根本无法仔细了解病毒样本的行为,这次我们结合Process Monitor进行动态的行为分析. Process Monitor Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程. 有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同

熊猫烧香_汇编级_超详细分析

1.样本概况 1.1 应用程序信息 文件: C:\Windows\System32\drivers\spo0lsv.exe 大小: 30001 bytes 修改时间: 2007年1月17日, 12:18:40 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 简单功能介绍: \1. 自启动 \2. 删除gho文件 \3. 全盘感染指定类型文件 \

病毒木马查杀第004篇:熊猫烧香之专杀工具的编写

一.前言 如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了.当然对于我们这次研究的对象--"熊猫烧香"来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟还没有对其进行逆向分析.所以这里仅针对我们上一篇文章所得出的结果,来进行专杀工具的编写.一般来说,专杀工具既可以用批处理实现,又可以用编程语言编写,但是现实中更多的还是用后者进行制作的,因为其更加严谨.灵活.因此我这里会使用C++来写一个简单的"熊猫烧香"专杀程序. 二.病毒行为回顾与

第一个打击木马病毒查杀007一片:反向熊猫的分析(下一个)

        本系列文章的版权"I春天的"整个,转载请注明出处.         本文配套视频教程,请訪问"i春秋"(www.ichunqiu.com). 一.前言 这次我们会接着上一篇的内容继续对病毒进行分析. 分析中会遇到一些不一样的情况,毕竟之前的代码我们仅仅要依照流程顺序一步一步往下走,就行弄清楚病毒的行为.可是在接下来的代码中,假设依然如此,在某些分支中的重要代码就运行不到了.所以我们须要採取一些策略.走完每一个分支,彻底分析出病毒的行为. 二.病毒分析