首页
社区
课程
招聘
[原创]小白分析熊猫烧香病毒
发表于: 2020-11-9 13:50 8892

[原创]小白分析熊猫烧香病毒

2020-11-9 13:50
8892

病毒名称:spo0lsv(熊猫烧香)

MD5: 512301C535C88255C9A252FDF70B7A03

SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32: E334747C

测试环境:VMware Workstation Windows7 专业版

测试工具:Ollydbg,IDA,PEID,Hash,ImpREC,火绒剑,PCHunter32,Process Explorer

1)找到病毒的恶意行为与代码

2)编写病毒查杀和修复感染电脑的程序

病毒行为:

拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,不但能感染系统中exe,com,pif,src,html,asp等文件,还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样

被感染的用可执行文件全户系统中所有.exe部被改成熊猫举着三根香的模样

1)自我复制样本到C盘、C:/Windows/driver/目录下,启动C:/Windows/driver/spo0lsv.exe(样本)

2)在每一个目录下创建Desktop_.ini,里面是当前日期

3)在C盘根目录下创建了autorun.inf文件,里面制定了自动启动的文件为根目录下的setup.exe(即样本)

4)对程序目录下的exe进行了感染,图标变为熊猫烧香,打开exe时,自动打开病毒


5)设置注册表启动项为C:/Windows/driver/spo0lsv.exe

6)设置注册表键值,隐藏文件不显示

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值

7)自己创建了一个注册表的项,在其中写入了很多信息。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32

8)修改注册表的项IE浏览器的代理和连接设置。

9)枚举进程、查找窗口、打开设备


10)连接局域网的一些地址,访问外面的一些网址

11)使用cmd命令关闭网络共享

cmd.exe/c net share C$/del/y

cmd.exe/c net share admin$ /del/y

根据伪C代码,可以发现OEP函数一开始全是初始化变量,调用的第一个函数sub_405250,其参数有字符串“xboy",之后另一次调用中,参数有字符串“whboy”,在调用sub_405250之后,有LStrCmp字符串比较函数的调用,之后有判断返回值的代码,可以猜测函数sub_405250应该是解密字符串函数。剩下的sub_打头的函数应该是恶意代码函数,在这个代码的末尾有一个消息循环,猜是等待恶意代码执行完毕,函数才会退出。所以OEP函数可以分为四部分:

初始化变量-》判断特定标识字符串-》执行恶意代码-》等待恶意执行完的循环


在偏移0x425250的位置是一个解密函数,如图,其中最后一个参数,是传出参数,为一个字符串

动态跟踪,发现堆栈中解密字符串,跟踪调用完函数之后,LStrCmp函数的参数是解密的字符串与全局变量字符串

1)sub_40819c0复制自身到系统驱动目录下,然后执行拷贝好的程序

2)sub_40d18c函数分析,这个函数中有三个函数,分别功能:

①一个函数创建线程,遍历目录创建Desktop_.ini


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-11-27 09:50 被哦哈哈哈哈编辑 ,原因:
上传的附件:
收藏
免费 2
支持
分享
最新回复 (4)
雪    币: 26588
活跃值: (63252)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
2
感谢分享!期待更多精彩文章!
2020-11-11 15:04
0
雪    币: 8989
活跃值: (6205)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
据说这个whboy 是有故事的
2020-11-15 04:49
0
雪    币: 4880
活跃值: (2544)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
非常感谢分享!
2020-11-17 17:48
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
厉害
2020-11-18 05:15
0
游客
登录 | 注册 方可回帖
返回
//