分析报告
样本名 |
熊猫烧香 |
版本 |
原版 |
时间 |
2018-03-18 |
平台 |
Windows 7-32位 |
信息安全研究(病毒分析报告)
目录
1.样本概况… 2
1.1 样本信息… 2
1.2 测试环境及工具… 3
1.3 分析目标… 3
1.4 提取样本… 3
1.4.1查壳… 3
1.4.2 具体提取步骤… 3
1.4.3 提取样本… 4
2.具体行为分析… 5
2.1 主要行为… 5
2.2 分析情况总结:… 10
2.3 详细分析… 11
3.解决方案… 25
3.1 手工查杀步骤或是工具查杀步骤或是查杀思路等。… 25
1.样本概况
1.1 样本信息
病毒名称: 熊猫烧香
所属家族: 感染性病毒(Virus) /蠕虫病毒(Worm)
大小: 30001 bytes
MD5值: 512301C535C88255C9A252FDF70B7A03
SHA1值: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32: E334747C
病毒行为: 复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项
1.2 测试环境及工具
Win7 32位、OD/IDA/x64DBG/火绒剑/ExeiofoPE/
1.3 分析目标
分析病毒永久驻留方式,感染的方式,网络连接,病毒的恶意行为
1.4 提取样本
1.4.1查壳
查看启动项(注册表,计划任务等)
将样本vir文件直接拖进火绒剑内:
查看过滤后的结果:
查看结果,发现样本擦混改建了许多Desktop_ini文件,感染了许多exe,而且exe 的图标已经变成了熊猫烧香
2.2 分析情况总结:
分析监控的日志以及人肉之后,可以分析出样本的恶意行为:
- 自我复制样本到C盘:C:WindowsSystem32目录下,
启动C:WindowsSystem32driversspo01.exe(即样本)
- 在每一个目录下创建了一个Dosktop_.ini,里面是当前日期
- 在C盘根目录下创建了autorun.inf文件,里面指定了自动启动的文件为根目录下的setup.exe(即样本)
- 对程序目录下的exe进行了感染,图标变为熊猫烧香,打开exe时,自动打开病毒
- 设置注册表启动项为:C:/Windows/driver/spo01sv.exe
- 设置注册表键值,隐藏文件不显示
- 自己创建了一个注册表的项,在其中写入了很多信息
HKEY_LOCAL_MACHINESOFTWAREMicrosoftTracingspo01sv_RASAPI32 - 枚举进程,查找窗口,打开设备
- 连接局域网的一些地址,访问外面的一些网址
10. 使用cmd命令关闭了网络共享
2.3 详细分析
通过以上分析可以知道恶意代码的一些恶意行为,想要获取更加详细的行为需要使用IDA或是OD分析样本
详细分析过程:
上面用Exeinfo查看到此程序是FSG2.0的压缩壳,以下进行手动脱壳:
单步运行到0x00401D1,此处jmp 的就是OEP,F7单步步入,在此处dump程序,然后修复IAT即可。
脱过壳后的程序使用Peid深度扫描可以识别出程序是使用delphi编译的:
导入签名后,采用OD/Ida,动静结合的方法分析恶意代码;
先使用IDA的F5快捷键查看下伪c代码,先对此程序有一个大约的框架。
根据伪C代码,可以发现OEP函数一开始全是初始化变量,调用的第一个函数sub_405250,参数中有字符串“xboy”,而另一次调用中,参数有字符串“whboy”,在调用sub_405250函数后,有LStrCmp字符串比较函数的调用,之后就是判断返回值的代码,可以猜测函数sub_405250应该是解密字符串函数。
剩下的三个sub_xxx开头的函数应该是恶意代码函数,在这个代码的末尾有一个消息循环,猜测是等待恶意代码执行完毕后,函数才退出(稍后再OD中验证此推测)。
所以OEP函数可以分为四部分:
动态跟踪验证对sub_405250函数的猜测,发现堆栈中解密字符串,跟踪调用完函数之后,LStrCmp函数的参数是解密的字符串与全局变量字符串:
然后分析剩下的几个执行恶意代码的函数:
sub_40D18C函数分析:
如果文件是GHO(备份),则将其删除:
进入回调函数查看:
第一个定时器(一秒触发一次):
发现是在检查是否有杀毒软件,如果有,则让其关闭
均采用此方法分析可知:
第二个定时器(20分钟触发一次):
从http://wangma.9966.org/down.txt网站读取到网页源代码并且运行代码
第四个定时器(6秒触发一次):
第六个定时器(30分钟触发一次):
又是在下载恶意代码:
至此,分析基本结束。
3.解决方案
3.1 手工查杀步骤或是工具查杀步骤或是查杀思路等。
1、删除【C:WindowsSystem32driversspcolsv.exe】文件
2、删除【HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer
sionRun】键项的svcshare
3、删除每个盘符根目录下生成两个文件【autorun.inf和setup.exe】文件
4、设置【HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALL】,CheckedValue的键值设置为1(显示隐藏文件)
转载于:https://www.cnblogs.com/by-clark/p/9126850.html
文章知识点与官方知识档案匹配,可进一步学习相关知识云原生入门技能树首页概览8665 人正在系统学习中 相关资源:国标软件设计文档(操作手册(GB8567——88),测试分析报告(GB8567…
来源:weixin_30478757
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!