分析报告

样本名	熊猫烧香
版本	原版
时间	2018-03-18
平台	Windows 7-32位

信息安全研究(病毒分析报告)

1．样本概况… 2

1.1 样本信息… 2

1.2 测试环境及工具… 3

1.3 分析目标… 3

1.4 提取样本… 3

1.4.1查壳… 3

1.4.2 具体提取步骤… 3

1.4.3 提取样本… 4

2．具体行为分析… 5

2.1 主要行为… 5

2.2 分析情况总结：… 10

2.3 详细分析… 11

3．解决方案… 25

3.1 手工查杀步骤或是工具查杀步骤或是查杀思路等。… 25

1．样本概况

1.1 样本信息

病毒名称：熊猫烧香

所属家族：感染性病毒（Virus) /蠕虫病毒(Worm)

大小: 30001 bytes

MD5值： 512301C535C88255C9A252FDF70B7A03

SHA1值： CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32： E334747C

病毒行为：复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项

1.2 测试环境及工具

Win7 32位、OD/IDA/x64DBG/火绒剑/ExeiofoPE/

1.3 分析目标

分析病毒永久驻留方式，感染的方式，网络连接，病毒的恶意行为

1.4 提取样本

1.4.1查壳

查看启动项(注册表，计划任务等)

将样本vir文件直接拖进火绒剑内：

查看过滤后的结果：

查看结果，发现样本擦混改建了许多Desktop_ini文件，感染了许多exe,而且exe 的图标已经变成了熊猫烧香

2.2 分析情况总结：

分析监控的日志以及人肉之后，可以分析出样本的恶意行为：

自我复制样本到C盘：C:WindowsSystem32目录下，

启动C:WindowsSystem32driversspo01.exe（即样本）

在每一个目录下创建了一个Dosktop_.ini，里面是当前日期
在C盘根目录下创建了autorun.inf文件，里面指定了自动启动的文件为根目录下的setup.exe(即样本)
对程序目录下的exe进行了感染，图标变为熊猫烧香，打开exe时，自动打开病毒
设置注册表启动项为：C:/Windows/driver/spo01sv.exe
设置注册表键值，隐藏文件不显示
自己创建了一个注册表的项，在其中写入了很多信息
HKEY_LOCAL_MACHINESOFTWAREMicrosoftTracingspo01sv_RASAPI32
枚举进程，查找窗口，打开设备
连接局域网的一些地址，访问外面的一些网址

10. 使用cmd命令关闭了网络共享

2.3 详细分析

通过以上分析可以知道恶意代码的一些恶意行为，想要获取更加详细的行为需要使用IDA或是OD分析样本

详细分析过程：

上面用Exeinfo查看到此程序是FSG2.0的压缩壳，以下进行手动脱壳：

单步运行到0x00401D1,此处jmp 的就是OEP，F7单步步入，在此处dump程序，然后修复IAT即可。

脱过壳后的程序使用Peid深度扫描可以识别出程序是使用delphi编译的：

导入签名后，采用OD/Ida,动静结合的方法分析恶意代码;

先使用IDA的F5快捷键查看下伪c代码，先对此程序有一个大约的框架。

根据伪C代码,可以发现OEP函数一开始全是初始化变量，调用的第一个函数sub_405250,参数中有字符串“xboy”，而另一次调用中，参数有字符串“whboy”，在调用sub_405250函数后，有LStrCmp字符串比较函数的调用，之后就是判断返回值的代码，可以猜测函数sub_405250应该是解密字符串函数。

剩下的三个sub_xxx开头的函数应该是恶意代码函数，在这个代码的末尾有一个消息循环，猜测是等待恶意代码执行完毕后，函数才退出（稍后再OD中验证此推测）。

所以OEP函数可以分为四部分：