分析报告
1.样本概况
1.1 样本信息
病毒名称:熊猫烧香
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
病毒行为:感染exe,scr,pif,com,htm,html,asp,php,jsp,aspx类型的文件,
局域网传播病毒,注册表写入启动项,关闭共享,下载指定文件并运行
1.2 测试环境及工具
测试环境:win7 32 bit
工具:loadPe,IDA,OD,Pchunter,火绒剑
1.3 分析目标
根据病毒行为,编写专杀工具
2. 主要行为
IDA里面,源代码为如下
2.1恶意程序对用户造成的危害(图)
感染可执行文件,以及网页文件插入一行代码,局域网传播病毒
2.2 恶意代码分析
一开始是解密字符串,比较是否退出进程
然后是关键的三个函数
- 将文件拷贝到系统目录下
1.判断进程目录下是否有Desktop_ini文件,有则删除
- 判断该本进程文件是否在系统目录下
如果不在系统目录下,就拷贝病毒文件到系统目录下并运行,退出本进程
如果在系统目录下,就清空字符串退出该函数
2.设置线程感染
1.开启线程:
遍历磁盘,找到C盘遍历文件
开始遍历
1.遇到便跳过
2.查找是否有Desktop_.ini文件,如果有就获取时间进行对比,对比成功则继续查找下一个文件
对比发现不同则重新获取替换,再继续遍历文件
如果文件不存在,创建该文件,拼接入最新文件时间,再继续遍历
3.判断是否为文件而非文件夹,比较后缀名
遇到GHO文件时,删除该文件
遇到setup.exe,NTDETECT.con文件时跳过
遇到exe,scr,pif,com文件时,就拷贝一份到内存,搜索是否有whboy字符串,如果有,说明已经被感染,跳过,如果没有,将病毒文件覆盖原文件后,并追加原文件和标记字符串
遇到文件
2.创建一个定时器,每6秒执行一次
判断C盘根目录下setup.exe是否存在
不存在则创建,将病毒文件拷入该文件
autorun.inf文件是否存在
若不存在则创建,将写入“[AutoRun]OPEN=setup.exeshellexecute=setup.exe
shell\Auto\command=setup.exe”并更改这两个文件的文件属性,改为隐藏
3.创建10个线程,感染局域网
3.设置定时器
创建了六个定时器:
定时器1,每隔1秒执行一次
创建线程,关闭杀毒软件以及一些进程,设置启动项并隐藏
创建线程,关闭杀毒软件
关闭一些进程
定时器2,间隔20分钟执行一次,创建线程,下载指定文件并运行
解密字符串,"http://www.ac86.cn/66/up.txt"
定时器3,间隔10秒执行一次,创建两个线程,线程1同定时器2,下载指定文件并执行
线程2删除共享
定时器4,间隔6秒执行一次,创建一个线程,关闭,删除一些安全软件相关的服务,删除安全软件启动项
定时器5,间隔10秒执行,访问一些网站
定时器6,间隔30分钟执行一次
下载文件并运行:http://www.update.whboy.net/worm.txt
3.解决方案(或总结)
3.1 提取病毒的特征,利用杀毒软件查杀
特征字符串:Whboy
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
查杀思路:
- 删除注册表启动项
- 删除C:\Windows\System32\drivers\spo0lsv.exe文件
- 关闭网络连接
- 遍历文件读取文件内容到内存,通过特征码查看是否感染,感染就恢复文件
posted on
浙公网安备 33010602011771号