菜鸟分析之熊猫烧香病毒
本帖最后由 L浪子 于 2019-10-23 13:40 编辑**分析报告**
| **样本名** | spo0lsv.exe |
| ---------- | ----------- |
| **时间** | 2019.08.06|
| **平台** | Win32 |
# **目录**
# 样本概况
## 应用程序信息
应用程序名称:spo0lsv.exe
MD5值: 512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32值:E334747C
简单功能介绍:
自我复制,关闭任务管理器,设置网络链接对外发送数据,接受数据,创建启动项
## 分析环境及工具
系统环境: Windows 7 32位专业版
分析工具:
1、火绒剑 ARK工具
2、PC Hunter 32 ARK 工具
3、Detect It Easy 2.04 查壳工具
4、15PBOlldbg 逆向动态分析工具
5、ImportREC 修复 IAT 工具
6、IDA PRO 逆向静态分析工具
7、HASH 哈希值查询工具
## 分析目标
分析病毒行为和具体执行流程
# 具体分析过程
## 通过简单的观看及ARK工具分析
### 打开文件管理器,发现.exe后缀格式的文件都变了
### 打开任务管理器,发现会被自动关闭
### 打开PCHUNTER,就发现了可疑进程
### 查看启动信息看启动项那项,发现可疑启动项
### 查看网络那项,发现可疑网络链接
### 通过抓包软件看出发送接受的数据是部分加密的,未加密的猜测是测试是否能上网络
### 通过火绒剑进行行为分析
#### 通过之前的分析知道会改变图标所以对文件操作,通过动作过滤,进行文件写入修改监控,发现会在C:\\Windows\\System32\\drivers\\ 下,建立 spo0lsv.exe 文件,猜测为恶意代码,并修改它的属性,如下图
写入文件
修改属性
#### 通过之前的分析知道会设置启动项,如上,动作过滤,通过监控注册表设置行为
并且修改了 IE 设置
#### 通过之前的分析知道会自动关闭任务管理器, 监控进程行为如下图
发现枚举进程的动作
发现打开进程动作,创建进程,跨进程恢复进程,写入内存,猜测与自释放,感染文件有关
发现打开设备动作,看了调用栈,猜测与网路数据相关
发现查找窗口动作
#### 通过之前的分析知道会连接网络,发送接受数据, 监控网络行为如下图:
#### 查看火绒剑的行为分析如下图:
#### 执行行为中发现一个删除网络共享的指令如下图:
### 简单分析小结:
01.会改变图标
02.会关闭任务管理器
03.会传输网络数据
04.会复制自己到 C:\\Windows\\System32\\drivers\\ 下
05.会写入一个系统配置文件后缀为ini, 文件内里内容为日期
06.修改注册表信息,在把自己设为启动项
07.会修改注册表中的 IE 设置
08.猜测会感染其他正常后缀为 exe 文件
09.会打开网络设备,收发数据.
10.会与局域网连接,会关闭网络共享
## 通过IDA和OD详细分析
### 首先查壳工具使用工具detect it easy 查壳
### 脱壳
这里可以直接使用吾爱破解工具包内的脱壳工具,直接脱壳
使用 Ollydbg 和 ImportREC 脱壳, 已脱壳如下图:
### 使用IDA PRO 分析
使用 IDA 静态分析,进入IDA 加载病毒,然后 F5 直接转换伪 C 代码,根据伪 C 代码,发现 OEP 函数一开始全是初始化变量, 调用第一个函数sub405250,其参数有字符串"xboy",后另一次调用,参数有字符串"whboy"在调用 sub\_405250 后,有 LStrCmp 字符串比较函数的调用, 之后有判断返回值的代码, 猜测函数 sub\_405250 是个解密字符串函数,剩下 sub\_ 开头的函数,应该是恶意代码函数, 在末尾有一个消息循环,猜测是等待恶意代码执行完毕, 函数才会退出,如下图:
分析各个执行恶意代码函数
重要函数 sub\_40819C 此函数主要功能就是复制自身到系统驱动目录下,然后执行复制的文件,如下图:
重要函数 sub\_40D18C 此函数内有三个函数, 分别功能:
1. sub\_40A5B0 创建线程,遍历目录创建Desktop\_.ini,如下图:
发现内有重写文件操作,猜测是感染文件,如下图:
感染函数为 sub_407F00 ,函数内部如下图:
sub_4079CC函数是对感染的文件追加内容,如下图:
函数内部,如下图:
2. sub_40C374 设置定时器,在C盘下创建setup.exe,autorun.inf,如下图:
函数内部如下:
回调函数主要代码如下:
3. sub_40BACC 创建线程,网络连接,对局域网进行感染,如下图
sub_40BA8C 回调函数内部如下:
sub_408864 函数内部如下:
重要函数 sub_40D088此函数内有六个定时器函数, 分别功能:
1. 设置定时器,创建线程,结束杀毒软件进程,创建注册表,将开机启动和隐藏功能写入,sub_40CEE4回调函数如下图:
sub_406E2C为创建结束进程函数,如下图:
回调如下图:
2. 设置定时器从网络下载文件,并运行它,回调函数作用如下图:
3. 设置定时器,下载文件,并运行它,关闭网络文件夹,回调函数主要作用如下图
sub_40CDEC 内如下图:
4. 设置定时器,设置注册表,停止和删除服务
5. 设置定时器,从网络下载数据
6. 设置定时器,从指定网络地址下载程序,运行程序
至此,分析基本结束.
# 总结
熊猫烧香病毒会自我复制.感染后缀为exe,scr,pif,com,htm,html,asp,php,jsp,apsx的文件,设置磁盘根目录系统配置文件,当打开文件夹(盘符)时自动运行病毒文件,感染磁盘下的文件.获取网络连接,对局域网内的其他电脑进行感染操作.当病毒运行时对一些杀毒软件进行结束操作,创建新的注册表,设置病毒文件开机启动及隐藏病毒,从网络上下载恶意代码.
## 解决方案如下:
### 手工查杀
1\) 利用PCHunter工具结束进程,并删除spo0lsv.exe文件
2\) 清除启动项,关闭svcshare启动项
3\) 删除autorun.inf 和 setup.exe
4\) 清除每个盘符下的Desktop\_.ini文件
5)打开注册表, HKLM\\Microsoft\\Windows\\CurrentVersion\\Explore\
Advanced\\Folder\\Hidden\\SHOWALL\\CheckValue,将CheckValue的值设为1。
### 专杀病毒工具
病毒是对启动项做了设置,对被感染文件进行了一定的修改,复制了自己到系统文件,编写专杀工具清除病毒,工具及源码以附在当前文档目录下.
**参考文献**
\ 15PB教研组. 恶意代码分析实例 熊猫烧香.
\ 15PB教研组. 恶意代码
ioio_jy 的<病毒木马查杀实战第004篇:熊猫烧香之专杀工具的编写> https://blog.csdn.net/ioio_jy/article/details/40961557
具体已写成doc,链接如下:
链接:https://pan.baidu.com/s/19mK47ss-7olSosRs8A-KLw&shfl=sharepset
提取码:8u48
专杀源码
链接:https://pan.baidu.com/s/1N00LImICPTrbfIC3UDvc-g&shfl=sharepset
提取码:gfax
freeboy 发表于 2019-11-5 09:26
菜鸟问,64位系统对病毒有影响吗?
不是大佬,我的愚见是没影响,因为64位兼容32位程序,如果是32位系统运行64位程序,是会影响! L浪子 发表于 2019-10-23 10:55
不,是15pb的,只是觉得应该把自己的分析,捋捋,所以就写了下发论坛了,虽然学的不咋,但还不需要混学分,
是不是,心里明白就行,一个是看雪,一个是吾爱。还有面试的时候千万别拿培训的时候教的那些样本,在公司里都成笑话了。比如:某领导说 : 今天的面试这个怎么样,面试官:培训机构出来的,领导:那个培训的。面试官:坦克班的 。 领导:哦哦哦,某某你们班的 可以 全部崩盘 你们就放过熊猫烧香吧 大佬大佬 感谢分享,是不是在虚拟机里演示的。还是不操作了吧 X5ZJ 发表于 2019-10-22 14:19
感谢分享,是不是在虚拟机里演示的。还是不操作了吧
嗯,虚拟机里操作的 xujian 发表于 2019-10-22 14:15
大佬大佬
我是菜逼:loveliness: @L浪子 图片可以不用md的语法,直接点击图片贴到正文就行了。 Hmily 发表于 2019-10-22 14:43
@L浪子 图片可以不用md的语法,直接点击图片贴到正文就行了。
感谢Hmily{:1_893:} 前台混脸熟! 熊猫烧香又复出了?