病毒名称:spo0lsv(熊猫烧香)
MD5: 512301C535C88255C9A252FDF70B7A03
SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32: E334747C
测试环境:VMware Workstation Windows7 专业版
测试工具:Ollydbg,IDA,PEID,Hash,ImpREC,火绒剑,PCHunter32,Process Explorer
1)找到病毒的恶意行为与代码
2)编写病毒查杀和修复感染电脑的程序
病毒行为:
拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,不但能感染系统中exe,com,pif,src,html,asp等文件,还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样
被感染的用可执行文件全户系统中所有.exe部被改成熊猫举着三根香的模样
1)自我复制样本到C盘、C:/Windows/driver/目录下,启动C:/Windows/driver/spo0lsv.exe(样本)
2)在每一个目录下创建Desktop_.ini,里面是当前日期
3)在C盘根目录下创建了autorun.inf文件,里面制定了自动启动的文件为根目录下的setup.exe(即样本)
4)对程序目录下的exe进行了感染,图标变为熊猫烧香,打开exe时,自动打开病毒
5)设置注册表启动项为C:/Windows/driver/spo0lsv.exe
6)设置注册表键值,隐藏文件不显示
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值
7)自己创建了一个注册表的项,在其中写入了很多信息。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32
8)修改注册表的项IE浏览器的代理和连接设置。
9)枚举进程、查找窗口、打开设备
10)连接局域网的一些地址,访问外面的一些网址
11)使用cmd命令关闭网络共享
cmd.exe/c net share C$/del/y
cmd.exe/c net share admin$ /del/y
根据伪C代码,可以发现OEP函数一开始全是初始化变量,调用的第一个函数sub_405250,其参数有字符串“xboy",之后另一次调用中,参数有字符串“whboy”,在调用sub_405250之后,有LStrCmp字符串比较函数的调用,之后有判断返回值的代码,可以猜测函数sub_405250应该是解密字符串函数。剩下的sub_打头的函数应该是恶意代码函数,在这个代码的末尾有一个消息循环,猜是等待恶意代码执行完毕,函数才会退出。所以OEP函数可以分为四部分:
初始化变量-》判断特定标识字符串-》执行恶意代码-》等待恶意执行完的循环
在偏移0x425250的位置是一个解密函数,如图,其中最后一个参数,是传出参数,为一个字符串
动态跟踪,发现堆栈中解密字符串,跟踪调用完函数之后,LStrCmp函数的参数是解密的字符串与全局变量字符串
1)sub_40819c0复制自身到系统驱动目录下,然后执行拷贝好的程序
2)sub_40d18c函数分析,这个函数中有三个函数,分别功能:
①一个函数创建线程,遍历目录创建Desktop_.ini
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2020-11-27 09:50
被哦哈哈哈哈编辑
,原因: