0x00 前言

0x01．样本详情

1.1 样本信息

该病毒能够自动传播、自动感染系统中的exe、com、pif、src、asp、html等文件，它会中止大部分杀毒软件的进程，并删除后缀名为gho的文件，使用户系统备份文件丢失。最显眼的就是它能将界面上所有exe文件全都变为一个熊猫举着三支香的图标。

1.2 测试环境及工具

测试环境：Windows 7

测试工具：Process Explorer、火绒剑、PEID、ExeInfo

​ OD、IDA、ImportREC

1.3 分析目标

通过观察病毒的行为找到行为的关键恶意代码，并完成查杀，编写文档报告。

0x02．具体行为分析

2.1 主要行为

2.1.1 恶意程序对用户造成的危害

首先中病毒的机器上的可执行文件全部无法使用，双击打开后会复制出来一个新的文件：

尝试打开这个新的文件，发现直接报错：

重启一下机器，发现病毒依然生效，可以认为该病毒感染了系统注册表，将自己加入了自启项中。使用ARK工具，这里打开PCHunter，查看可疑进程，发现了一个熊猫图标：

查看该进程的属性，可以找到它的路径和自启动位置，于是我们可以定位到该文件的具体路径和注册表信息，可是此时注册表已经无法打开了，这里先记录一下该病毒的进程路径信息，注册表一闪而过，无法截图：

这里由于火绒剑已经无法正常使用了，于是使用Process Monitor来监视这个病毒的行为，看看它到底有什么行为：

可以发现它的行为种类还是非常多的，涵盖了文件操作、注册表操作、进程线程创建和退出、网络行为。

这个程序一开始就注册并创建了自启动的注册表项，然后修改了SHOWALL这一项，那么我们就无法看到所有的文件了，这能很好的隐藏自己。然后前期都是查询并修改虚拟机的一些配置文件，这里不过多分析这部分的行为。

然后这里它就想建立TCP连接，这里我的虚拟机没有连接网络，所以无法连接也就无法向局域网传播。这里便可以看出它具有扫描局域网并传播的行为。

继续往下观察，找到有关释放文件的操作：

这个autorun.inf的作用就是用户在双击磁盘的时候会让某个程序自动执行，即也可以达到开机自启的功能：

直接输入路径打开该文件查看其内容：

还有一点就是该病毒不停地创建Desktop.ini文件在各种路径下

我们打开这个路径发现了目标文件（由于之前被隐藏了，需要打开隐藏的文件和文件夹）：

无法判定是什么文件有什么用，可能是缓存文件用于建立通讯：

并且基本可以确定在每一个目录下都有一个隐藏的desktop.ini的配置文件用于标记。

通过监视其行为发现该病毒的行为循环如下：

1、 创建自启动项、关闭文件显示注册表项====》隐藏

2、 遍历目录，在所有目录下创建desktop.ini文件

3、 释放可执行文件，并复制到C:\Windows\System32\drivers\目录下

4、 将setup.ex复制到C:\目录下

5、 启动spo0lsv.exe程序（主程序）

6、 创建autorun.inf文件实现指定可启动文件为C:\setup.exe

7、 检查并删除一些杀软的注册表项

8、 修改IE浏览器的代理设置和缓存文件

9、 建立TCP通讯访问外部网络

尝试删除文件和修改启动项，看病毒会不会继续生效

重启之后，spo0lsv.exe进程没有创建，但是系统注册表依旧无法被更改，也就是C:\autorun.inf文件所指向的setup.exe还是启动了且隐藏了其进程，用户无法察觉，然后点击任意一个被感染的图标，spo0lsv.exe进程就又回来了。

2.2 恶意代码分析

2.1 查看样本文件基本信息

载入LordPE，查看区段信息，发现区段头是空的，应该是加壳（加密过）：

使用ExeInfo查看发现有FSG的壳：

使用Die查看，发现可能是Borland Delphi编写，这样我们就可以扫描特征码来定位OEP然后脱壳分析了：

打开OD动态调试，直接搜索GetModuleHandleA这个函数，这函数开始打上一个硬件执行断点，观察函数栈的调用关系，找到主模调用，向上找就是OEP了

然后我们在这里查看一下IAT是否正常（指是否被加密）：

往下翻一点发现在IAT中间有一些7FFFFFFF字段截断，这会让我们dump出来的程序不正常，我们要走动将他改成0

到此已经成功将病毒脱壳了，接下来就可以通OD和IDA动静结合来具体看看代码是怎么样的了。

2.2 恶意程序的代码分析片段

打开IDA载入样本程序：

为了更方便的分析，这里可以添加一个Signature，由于之前已经知道这个程序是由Delphi编写的，而IDA默认的编译器和库文件都是C++相关的，我们就可以直接搜索并载入它，改成Delphi的库函数：

我们再次回到伪代码窗口，随便跳转至一个目的地址然后再ESC返回，发现已经识别出了Delphi的库函数：

继续看看，把没有命名的函数找出来，点进去再退出来看看能不能命名

OD载入样本看看405250这个函数是干什么的：

首先定位到调用此函数的地方，然后观察EAX作为返回值有什么变化：

由于Delphi是使用的fastcall,前两个参数是用的寄存器，传入了两个字符串，第三个参数传入了一个地址（指针），也就是ECX所指向的一块内存，调用函数之后EAX返回0，ECX作为传出参数返回了一个字符串。

通过观察可以发现这个函数应该是字符串的转化功能，返回值为0，传出参数为转化之后的字符串地址。

继续往下看：

首先看第一个：

在这个if进来的时候有两个sub_405FC4不知道是干啥的，跟进看看：

咋一看还挺复杂的，不知道从哪里看起，这里我们就看入口参数和函数返回值。入口参数就一个a1，就是传进来的字符串，也就是样本名，传出参数是v1：

先看入口参数a1的变化把：

那么这个目标进程会是什么呢？是别的进程还是他自己呢？我们打开Process Explorer看看：

先把断点下在调用这个函数的地方准备好，然后F8直接步过，可惜无事发生，并不知道关了哪个进程，再结合这个函数的参数是spo0lsv.exe，我们把样本名改成这个再试试，难不成就是关闭他自己？

F8走：

然后继续下一个函数sub_4053AC,我们还是先进去看看：

带着这个分析去OD看看具体干了什么：

将目光聚焦在寄存器上！

堆栈跟随，EAX所指向的内存ss:[12FB70]现在是0，函数被调用之后变成了系统路径，所以这个函数的作用是获取系统路径！

这个函数分析的差不多了，可以退出，看下一个函数：

先进去第一个，sub_40A5B0:

这个简单就是创建线程

然后第三个参数应该是线程回调函数，我们看看他是干什么的：

先看看unknown_libname_70是干什么的把：

跟字符串有关的

接着看77：

接着看这个，终于有个熟悉的函数了：

继续往下看，看到一大波系统目录：

这里应该就是将desktop,ini文件创建在各个文件夹下的操作了

然后遍历文件，判断是否有列出来的这几个文件

总结一下，这个函数就是遍历文件夹，在每一个目录下创建desktop.ini文件

在进入第二个函数分析：

进入时间触发事件看看定时完成了什么事件：

一进来就能看见这两个文件，这个函数应该和它们有关

所以第二个函数是用来计时写入autorun.inf文件来设置setup.exe文件的

最后就是第三个函数了：

很显然这个函数是用来网络通讯的。至此这三个函数都分析了一下

回到最外层函数，还剩一个，继续看：

一个一个去看

第一个计时器

创建、修改注册表的启动项和文件隐藏项

第二个计时器

第三个计时器

这个计时器里又设置了两个计时器

第一个：下载并执行文件

第二个：执行cmd命令

第四个计时器

又套了一层计时器：

看到了一些杀毒软件的字符串还有注册表的键名：

第五个计时器

主要是C4EC和C5E0这两个函数

C4EC这个函数：

C5E0这个函数：

所以这个函数跟字符串转化和打开网页读取数据有关

第六个计数器：

直接就是两个DownloadFile，这里果断判定下载恶意代码或者文件

至此，这六个计时器大致分析完毕

定位关键函数

看了这么多行为函数，那么这个病毒是怎么感染exe文件的呢？这个还需要定位分析一下：

通过前面的静态分析可以发现该病毒会创建进程不停的新建desktop.ini、autorun.inf、setup.exe文件等操作，所以可以从进程创建和创建文件的操作为切入点，下断点去看有什么行为。

然后我们重新运行程序看程序断下来的地方，先断在了CreateProcessA这个函数这里，刚好是创建病毒自己这个进程，所以我们要查看堆栈，看是哪里调用了创建进程函数，然后不让他创建，直接在本进程完成感染

第二个直接排除掉，这个是在消息循环里最开始的调用

只剩下一个了，我们跳转到目标地址然后上下看看

这里是拷贝文件并执行恶意代码的地方

可是到现在还是无法判定哪个跳转是关键跳，所以只能下断点去尝试，如果创建进程后，该程序后续的CreateFileA就无法断下来如果没有创建进程，那么由本进程完成文件创建工作，也就会断下，这里我们先将JNZ的条件改掉，让它跳走，看看会不会在CreateFileA函数断下来：

继续运行，发现在CreateFileA断下来了，此时正在创建desktop.ini文件，我们等到它创建exe文件的时候看看它是怎么感染的

• [ ] 明日继续分析~

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)