熊猫烧香分析报告
首先感谢一下小小青的排版,感谢
1.样本概况
1.1 样本信息
病毒名称:熊猫烧香
所属家族:感染蠕虫木马
MD5值:512301c535c88255c9a252fdf70b7a03
SHA1值:ca3a1070cff311c0ba40ab60a8fe3266cfefe870
CRC32:e334747c
1.2 测试环境及工具
运行环境:Win7 x86 虚拟机
分析工具:
火绒剑:分析病毒行为
Exeinfope:查壳
ImpREC:修复脱壳后文件的导入表
PCHunter:查看进程信息,手动查杀等
OllyDbg:动态调试
IDA Pro:静态分析
010Editor:查看病毒插入的信息
1.3 分析目标
找到病毒行为的具体实现代码,了解病毒行为的具体实现原理,知道病毒对机器的执行具体行为,进一步评估病毒对于宿主机器的威胁程度。
2.具体行为分析
2.1 主要行为
病毒行为1:拷贝自身到C:\Windows\System32\drivers目录,
病毒行为2:遍历磁盘,在每个文件夹生成Desktop_.ini文件;
病毒行为3:删除.gho备份文件;
病毒行为4:感染exe/scr/pif/com/htm/html/asp/php/jsp/aspx文件;
病毒行为5;建立启动项,禁止显示隐藏文件;
病毒行为6:下载http://www.ac86.cn/66/up.txt文件,下载病毒;
病毒行为7:删除磁盘共享;
病毒行为8:遍历服务,关闭安全中心等;
病毒行为9:遍历注册表,删除杀毒软件启动项;
2.2 恶意代码分析
2.2.1 第一个关键Call ,病毒复制到指定文件夹下并运行
2.2.2 第二个Call 主要进行了文件的感染和相关的网络操作,分析如下:
创建一个线程并进行感染
从后往前遍历驱动器进行感染
查找文件并进行感染(排除指定文件夹: WINDOWS,WINNT,SYSTEM32, Documents and Settings, System Volume Information, Recycled, Windows NT, WindowsUpdate, Windows Media Player, Outlook Express, Internet Explorer, NetMeeting, Common Files, ComPlus Applications, Common Files, Messenger, InstallShield Installation Information, Microsoft Frontpage, Movie Maker, MSN Gamin Zone)
操作ini文件,并写入日期
删除gho文件
把文件读入到内存,对(exe,scr,pif,com)文件进行感染
往文件后面追加一段字符串
对网页文件(htm,html,asp,php,jsp,aspx)感染
设置一个定时器
检测autorun.inf文件是否存在,不存在则创建
拷贝自身到根目录下,并命名为setup.exe
2.2.3 第三个Call里面主要有6个定时器,主要是病毒的自我保护
具体分析如下:
定时器1:
1).访问令牌,修改自身的权限
2).获得桌面窗口,枚举杀软进程,并结束相关进程和线程
3).操作注册表,设置自启动目录为drivers目录下的spo0lsv.exe,修改文件和目录的属性为不可见.
定时器2:从指定网站更新程序
定时器3:通过命令行实现共享的关闭
定时器4:枚举各种线程相关的服务并关闭,设置安全软件的注册表无效(注册表包含项:RavTask,KvMonXP,kav,McAfeeUpdaterUI,NetworkAssociatesErrorReportingService,yassistse
停止服务包含项:
sharedaccess,RsCCenter,RsRavMon,KVWSC,KVSrvXP,kavsvc,AVP,McAfeeFramework,McShield,McTaskManager,navapsv,wscsvc,KPfwSvcKPfwSvc,ccProxy,ccProxy,ccProxy,SPBBCSvc,SymantecCoreLC,NPFMntor,NPFMntor,FireSvc)
第五个和第六个定时器:网络相关,从网络上获取相关的数据
3.解决方案(或总结)
3.1 提取病毒的特征,利用杀毒软件查杀
病毒特征:
字符串:
***武*汉*男*生*感*染*下*载*者***
Whboy
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
(1)结束进程spo0lsv.exe,可通过cmd命令tasklist和taskkill结束进程
(2)在cmd中输入msconfig打开启动项管理,把svcshare这个启动项关闭
(3)打开注册表,找到:
HKLM\Microsoft\Windows\CurrentVersion\Explore/Advanced/Folder\Hidden\SHOWALL\CheckValue将CheckValue的值设置为1
(4)在资源管理器中设置显示隐藏文件,把autorun.inf和autorun.exe删除
(5)在C:\Windows\system32\drivers\目录下找到spo0lsv.exe,删除文件
(6)清除每个盘符下的Desktop.ini
参考文献
[1] 钱林松,赵海旭. C++反汇编与逆向分析技术揭秘.
[2] 戚利 Windows PE权威指南