病毒名称：spo0lsv(熊猫烧香)

MD5: 512301C535C88255C9A252FDF70B7A03

SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32: E334747C

测试环境：VMware Workstation Windows7 专业版

测试工具：Ollydbg,IDA,PEID,Hash,ImpREC，火绒剑，PCHunter32，Process Explorer

1)找到病毒的恶意行为与代码

2)编写病毒查杀和修复感染电脑的程序

病毒行为：

拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒，不但能感染系统中exe,com,pif,src,html,asp等文件，还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样

被感染的用可执行文件全户系统中所有.exe部被改成熊猫举着三根香的模样

1)自我复制样本到C盘、C：/Windows/driver/目录下,启动C：/Windows/driver/spo0lsv.exe(样本)

2)在每一个目录下创建Desktop_.ini,里面是当前日期

3)在C盘根目录下创建了autorun.inf文件，里面制定了自动启动的文件为根目录下的setup.exe（即样本）

4)对程序目录下的exe进行了感染，图标变为熊猫烧香，打开exe时，自动打开病毒

5)设置注册表启动项为C：/Windows/driver/spo0lsv.exe

6)设置注册表键值，隐藏文件不显示

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值

7)自己创建了一个注册表的项，在其中写入了很多信息。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32

8)修改注册表的项IE浏览器的代理和连接设置。

9)枚举进程、查找窗口、打开设备

10)连接局域网的一些地址，访问外面的一些网址

11)使用cmd命令关闭网络共享

cmd.exe/c net share C$/del/y

cmd.exe/c net share admin$ /del/y

根据伪C代码，可以发现OEP函数一开始全是初始化变量，调用的第一个函数sub_405250，其参数有字符串“xboy",之后另一次调用中，参数有字符串“whboy”,在调用sub_405250之后，有LStrCmp字符串比较函数的调用,之后有判断返回值的代码，可以猜测函数sub_405250应该是解密字符串函数。剩下的sub_打头的函数应该是恶意代码函数，在这个代码的末尾有一个消息循环，猜是等待恶意代码执行完毕,函数才会退出。所以OEP函数可以分为四部分:

初始化变量-》判断特定标识字符串-》执行恶意代码-》等待恶意执行完的循环

在偏移0x425250的位置是一个解密函数，如图，其中最后一个参数，是传出参数，为一个字符串

动态跟踪，发现堆栈中解密字符串，跟踪调用完函数之后，LStrCmp函数的参数是解密的字符串与全局变量字符串

1)sub_40819c0复制自身到系统驱动目录下，然后执行拷贝好的程序

2)sub_40d18c函数分析，这个函数中有三个函数，分别功能：

①一个函数创建线程，遍历目录创建Desktop_.ini

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)