-
-
[原创][原创]熊猫烧香
-
发表于: 2019-9-5 22:40
-
病毒名称:熊猫烧香、Worm WhBoy、Worm.Nimaya、金猪报喜、武汉男生
文件: C:\Users\15pb-win7\Desktop\spo0lsv.exe
大小: 30001 bytes
修改时间:2007年1月17日, 12:18:40
所属家族:Whboy
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
壳:PSG v2.0
编写语言:Borland Delphi 6.0 - 7.0
软件环境:Windows7、VMware Workstation
硬件环境:局域网、PC机一台
开发工具:OD、IDA、火绒剑、PCHunter、PEid、loadPe
网络工具:WSExplorer
病毒主要行为
病毒传播原理
查杀方法
Advapi32.dll是一个高级API应用程序接口。包括了函数与对象的安全性,注册表的操控以及事件日志相关的API函数。
在advapi32.dll中引入了下面一些API
由上述的表分析可知,熊猫烧香程序的主要功能包括:文件读写、注册表修改、进程权限修改,网络链接,URL等
中毒后将自身拷贝到系统目录下;添加注册表启动项确保自身在系统启动后被加载;拷贝自身到所有驱动根目录并命名为setup.exe,生成一个autorum.inf使得用户打开该盘运行病毒,并将这俩个属性设置为隐藏、只读、系统;关闭杀毒软件和安全工具;连接*.org下载某软件;刷新bbs.qq.com,某qq连接。
安全服务关掉
可疑进程设置了启动项
在每个目录下创建Desktop_ini,里面存储当前时间
病毒延伸
检查Desktop_ini是否存在
如果不在system32下,拷贝过去,执行病毒文件
设置了6个定时器下载恶意代码、执行cmd命令、删除启动项、关闭服务、打开解密的网页、下载恶意代码等。
1、查找窗口,遍历窗口和线程回调
2、遍历窗口出现防火墙、进程、网镖、杀毒、毒霸、瑞星、江民、超级兔子、优化大师、木马清道夫、卡巴斯反病毒、木马辅助查找器、Symantec AntiVirus、Duba、esteem procs、System Safety Monitor、Wrapped gift Killer、Winsock Expert、超级巡警 则发送关闭消息
3、设置病毒Svcshare开机自启动Run、禁止显示隐藏文件
4、第二个定时器从网上下载东西
5、第三个定时器关闭共享
6、第四个定时器关闭杀毒软件 killTimer停止、删除指定服务并删除安全软件相关启动项
8、网络连接线程回调函数遍历局域网通过139 445端口
通过PE结构中MZ和PE的标志位判断是否为可执行文件
识别病毒文件或感染文件
尾部特征判断感染文件
文件末尾追加尾部标识+正常程序文件名+(02+文件大小+01)
字符串特征:
武汉男生感染下载者 WhBoy
++戊+缓"叛聋+肛+删"蚊苜+兆++*
手工查杀步骤:
1.结束可疑进程spo0lsv.exe
2.在cmd中输入msconfig打开启动管理器,把svcshare这项关掉
3.注册表中HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4.删除C:\Windows\system32\drivers\目录下找到spo0lsv.exe
5.删除C盘设置隐藏文件的setup.exe这个自启动程序
6.关闭移动磁盘媒体自动播放
7.恢复被感染的文件,删除Desktop_ini
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
