首页
论坛
专栏
课程

[病毒木马] [原创] 小K学病毒分析之【熊猫烧香】

2018-3-20 01:16 4697

[病毒木马] [原创] 小K学病毒分析之【熊猫烧香】

2018-3-20 01:16
4697

目录

0x1 样本信息 1

0x2 分析工具和环境 2

0x3 病毒分析 2

3.1 自校验 2

3.2 创建和运行部分 3

3.3 感染部分 6

3.4 自我保护部分 9

0x4 病毒查杀和文件恢复 12

0x5 总结 12


0x1 样本信息


0x2 分析工具和环境

32位Win7 + PEID + OD + IDA

0x3 病毒分析

3.1 自校验

病毒在启动之后,会经过两次加密字符串的解密 ,只有两次都成功才会真正进入核心功能。


核心功能主要由三个函数进行实现,下面进行详细分析。

3.2 创建和运行部分

检测当前目录是否存在Desktop_.ini文件,如果存在则删除。

接着,病毒会通过检查文件路径、病毒感染标志来确定进当前病毒属于以下三种情况的哪一种情况。

分别进程本身属于原始病毒文件、被感染的可执行文件、以及伪装目标进程三种情况。

1. 原始病毒文件

拷贝自身到 ~/system32/driver/目录,重命名为spcolsv.exe并运行,然后结束当前进程。


 2. 被感染的可执行文件

1)在当前目录释放被感染的原始文件

2)创建自删除批处理,并运行

3)拷贝病毒部分到到系统目录,伪装系统服务。

3. 伪装目录进程文件

退出当前模块,执行接其他模块功能。


需要注意的几点是:

1. 病毒的感染标识

感染PE文件后,会在文件的末尾写上标志,格式为:

WhBoy+ 源文件名 + 0x2标记 + 源文件大小+0x1标记

2. 自删除批处理文件

3. 感染文件结构

病毒文件 + 原始文件 + 标记字符串

3.3 感染部分

接下来就是扩散自身,感染其他文件或者感染其他主机,病毒会通过本地文件感染、U盘自动感染以及网络三种方式进行传播。同时,为了防止电脑用户对系统进行还原,在查找到.gho文件时,会对齐进行删除。

3.3.1 感染文件部分(本地)

创建一个线程,遍历所有的磁盘和文件,对文件进行感染。

1)删除GHO备份


2)感染PE文件

感染目标文件后缀类型有:

EXE、SCR、PIF、COM

具体感染请参考感染后的文件格式。感染完毕后,会在当前目录中创建Desktop_.ini,并写入日期(年-月-日),当病毒二次扫描到该目录时,会对当前日期和文件内的日期进行比较,如果时同一天就不再感染当前目录了。

3)感染web文件

感染目标文件后缀类型有:

Htm、html、asp、php、jsp、aspx

在web文件最后加上一句,该内容在文件中是加密的,加密后在写入:

 


 

3.3.2 磁盘传播

通过SetTime,每间隔6s复制自身所有磁盘的根目录,重命名为setup.exe。然后写入autorun.inf,注意这两个文件都是隐藏了。


3.3.3 网络传播

利用弱密码通过139/445端口进行登陆。


3.4 自我保护部分

这部分通过设定4分不同时长的定时器进行,然后定时执行下面几种操作。


3.4.1 杀进程和自启动

1)遍历进程和窗口,关闭疑似杀毒软件的窗口和关闭特定杀毒软件或系统工具(间隔1秒)


2)设定自启动和隐藏文件(每隔1秒)


3.4.2 QQ木马(猜测)

病毒会定时检查当前进程是否存在QQ(这部分猜的,偷懒了),如果存在则从服务器一个可执行文件并执行(具体是什么不清楚了,服务器早就没了,反正不是好东西,结合前面看到QQ的字符串,所以我直接跳过这部分,猜测是QQ盗号木马之类的)。


 

3.4.3 关闭共享


3.4.4 关闭杀毒软件的服务(每隔6s)

关闭常见杀毒软件的服务,并删除杀毒软件的自启动项。(代码太长就不截图了)

0x4 病毒查杀和文件恢复

因为病毒会关闭杀软、任务管理器和注册表查看器等工具,所有会让人一开始无从下手,实际上杀死病毒进程非常容易,只需要两行命令。

1) 打开控制台,通过tasklist和taskkill命令关闭spcolsv.exe进程,然后可以删除spcolsv.exe文件了。

2) 关闭媒体自动播放,防止autorun启动病毒

3) 打开查看隐藏文件选项,把磁盘根目录的隐藏文件删除

4) 至于其他被感染的文件,由于病毒并没有破坏源文件,故可以通过简单编写小工具的方式来恢复被感染的文件。具体恢复思路请参考上面提及部分。

0x5 总结

这是我第一次进行病毒分析,所以挑了一个比较经典、简单的样本来做分析(没错,柿子挑软的来捏),^ _ ^。

当然,这款病毒早已被人分析透了,我在这里写出来意义不大,仅用来给自己加油罢了。

没有系统学习过这方面的知识,所以分析的流程和方法可能不对,希望知道的朋友们能够给点建议。

接下来我会分析其他类型的病毒,希望大家喜欢,谢谢。



[公告]安全测试和项目外包请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最后于 2018-12-25 22:01 被myangel编辑 ,原因:
上传的附件:
最新回复 (17)
沭阳 3 2018-3-20 01:56
2
0
加油,我也在努力的学习中!!
myangel 2018-3-20 02:01
3
0
沭阳 加油,我也在努力的学习中!!
共勉
samohyes 2018-3-20 02:42
4
0
沭阳 加油,我也在努力的学习中!!
老铁666
rescuo 2018-3-20 08:01
5
0
全部用IDA吗?都不用动态OD,666
niuzuoquan 2018-3-20 08:07
6
0
感谢分享
myangel 2018-3-20 08:34
7
0
rescuo 全部用IDA吗?都不用动态OD,666
有用OD,不过截图只截了IDA的,没考虑好,下次会注意的
ZwTrojan 2018-3-20 10:38
8
0
f_开头的函数是自己命名的吗
沭阳 3 2018-3-20 11:04
9
0
活捉老铁!!!!!
八岛 1 2018-3-20 15:53
10
0
哪个小k?破晓?
myangel 2018-3-23 00:01
11
0
ZwTrojan f_开头的函数是自己命名的吗
是的
myangel 2018-3-23 00:02
12
0
八岛 哪个小k?破晓?
我的自称而已
yunyu 2018-3-25 11:16
13
0
厉害  ,我学学。哈哈
闫玉龙 2018-4-3 09:51
14
0
解压密码是啥,,,
niuzuoquan 2018-4-3 10:34
15
0
感谢分享
petersonhz 2019-6-25 23:31
16
0
八岛 哪个小k?破晓?
破晓是谁啊,怎么你们都知道
mb_apdfhqev 2019-7-25 01:28
18
0
加油
游客
登录 | 注册 方可回帖
返回