-
-
[原创] 小K学病毒分析之【熊猫烧香】
-
发表于: 2018-3-20 01:16
-
0x1 样本信息 1
0x2 分析工具和环境 2
0x3 病毒分析 2
3.1 自校验 2
3.2 创建和运行部分 3
3.3 感染部分 6
3.4 自我保护部分 9
0x4 病毒查杀和文件恢复 12
0x5 总结 12
32位Win7 + PEID + OD + IDA
病毒在启动之后,会经过两次加密字符串的解密 ,只有两次都成功才会真正进入核心功能。
核心功能主要由三个函数进行实现,下面进行详细分析。
检测当前目录是否存在Desktop_.ini文件,如果存在则删除。
接着,病毒会通过检查文件路径、病毒感染标志来确定进当前病毒属于以下三种情况的哪一种情况。
分别进程本身属于原始病毒文件、被感染的可执行文件、以及伪装目标进程三种情况。
1. 原始病毒文件
拷贝自身到 ~/system32/driver/目录,重命名为spcolsv.exe并运行,然后结束当前进程。
2. 被感染的可执行文件
1)在当前目录释放被感染的原始文件
2)创建自删除批处理,并运行
3)拷贝病毒部分到到系统目录,伪装系统服务。
3. 伪装目录进程文件
退出当前模块,执行接其他模块功能。
需要注意的几点是:
1. 病毒的感染标识
感染PE文件后,会在文件的末尾写上标志,格式为:
WhBoy+ 源文件名 + 0x2标记 + 源文件大小+0x1标记
2. 自删除批处理文件
3. 感染文件结构
病毒文件 + 原始文件 + 标记字符串
接下来就是扩散自身,感染其他文件或者感染其他主机,病毒会通过本地文件感染、U盘自动感染以及网络三种方式进行传播。同时,为了防止电脑用户对系统进行还原,在查找到.gho文件时,会对齐进行删除。
3.3.1 感染文件部分(本地)
创建一个线程,遍历所有的磁盘和文件,对文件进行感染。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
沭阳
rescuo
八岛
