首页
论坛
专栏
课程

[原创][原创]熊猫烧香

2019-9-5 22:40 2908

[原创][原创]熊猫烧香

2019-9-5 22:40
2908

目录

0x01 样本概况

病毒名称:熊猫烧香、Worm WhBoy、Worm.Nimaya、金猪报喜、武汉男生
文件: C:\Users\15pb-win7\Desktop\spo0lsv.exe
大小: 30001 bytes
修改时间:2007年1月17日, 12:18:40
所属家族:Whboy
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
壳:PSG v2.0
编写语言:Borland Delphi 6.0 - 7.0

测试环境及工具

软件环境:Windows7、VMware Workstation
硬件环境:局域网、PC机一台
开发工具:OD、IDA、火绒剑、PCHunter、PEid、loadPe
网络工具:WSExplorer

分析目标

病毒主要行为
病毒传播原理
查杀方法
图片描述
图片描述
Advapi32.dll是一个高级API应用程序接口。包括了函数与对象的安全性,注册表的操控以及事件日志相关的API函数。
在advapi32.dll中引入了下面一些API
图片描述
图片描述
由上述的表分析可知,熊猫烧香程序的主要功能包括:文件读写、注册表修改、进程权限修改,网络链接,URL等

0x02 行为分析

执行流程

病毒自我复制

图片描述

病毒感染

病毒行为

中毒后将自身拷贝到系统目录下;添加注册表启动项确保自身在系统启动后被加载;拷贝自身到所有驱动根目录并命名为setup.exe,生成一个autorum.inf使得用户打开该盘运行病毒,并将这俩个属性设置为隐藏、只读、系统;关闭杀毒软件和安全工具;连接*.org下载某软件;刷新bbs.qq.com,某qq连接。
安全服务关掉
图片描述
可疑进程设置了启动项
图片描述
图片描述
在每个目录下创建Desktop_ini,里面存储当前时间
图片描述
病毒延伸
图片描述

恶意代码

检查Desktop_ini是否存在
图片描述
如果不在system32下,拷贝过去,执行病毒文件
图片描述
设置了6个定时器下载恶意代码、执行cmd命令、删除启动项、关闭服务、打开解密的网页、下载恶意代码等。
1、查找窗口,遍历窗口和线程回调
图片描述
2、遍历窗口出现防火墙、进程、网镖、杀毒、毒霸、瑞星、江民、超级兔子、优化大师、木马清道夫、卡巴斯反病毒、木马辅助查找器、Symantec AntiVirus、Duba、esteem procs、System Safety Monitor、Wrapped gift Killer、Winsock Expert、超级巡警 则发送关闭消息
图片描述
3、设置病毒Svcshare开机自启动Run、禁止显示隐藏文件
图片描述
4、第二个定时器从网上下载东西
图片描述
5、第三个定时器关闭共享
图片描述
6、第四个定时器关闭杀毒软件 killTimer停止、删除指定服务并删除安全软件相关启动项
图片描述
图片描述
8、网络连接线程回调函数遍历局域网通过139 445端口
图片描述

0x03 解决方案

提取特征

通过PE结构中MZ和PE的标志位判断是否为可执行文件
识别病毒文件或感染文件
图片描述
尾部特征判断感染文件
文件末尾追加尾部标识+正常程序文件名+(02+文件大小+01)
图片描述
字符串特征:
WhBoy
++戊+缓"叛聋+肛+删"蚊苜+兆++*
图片描述

查杀方法

手工查杀步骤:
1.结束可疑进程spo0lsv.exe
2.在cmd中输入msconfig打开启动管理器,把svcshare这项关掉
3.注册表中HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4.删除C:\Windows\system32\drivers\目录下找到spo0lsv.exe
5.删除C盘设置隐藏文件的setup.exe这个自启动程序
6.关闭移动磁盘媒体自动播放
7.恢复被感染的文件,删除Desktop_ini



[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最后于 2019-9-7 20:50 被东方二狗编辑 ,原因:
最新回复 (11)
kanxue 8 2019-9-5 23:08
2
0
图片丢失了
joker陈 2019-9-6 09:13
3
0
不是c语言么,里面还有调侃卡8*等等的注释
万剑归宗 1 2019-9-6 09:41
4
0
洛阳铲?
大笨猫 2019-9-7 21:00
5
0
分析详细,学习学习!
niuzuoquan 6天前
6
0
mark
惊电 6天前
7
0
挖坟?诈尸?
zuoyang 6天前
8
0
又是15pb来蹭学分的??
东方二狗 6天前
9
0
nono 我看不中那点学分
东方二狗 6天前
10
0
noon
karlx 1 5天前
11
0
学分+1
mortalboold 5天前
12
0
果然培训的画图都比较规范
游客
登录 | 注册 方可回帖
返回