【熊猫烧香】病毒分析

匿名 (未验证) 提交于 2019-12-03 00:36:02

多图!!!

病毒名称:熊猫烧香 文件: spo0lsv.vir 大小: 30001 bytes 修改时间: 2007117日, 12:18:40 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 壳信息:FSG V2.0 编写语言: [Borland Delphi v6.0-v7.0]

病毒行为:
拷贝自身到C:\Windows\System32\drivers目录,
遍历磁盘,在每个文件夹生成Desktop_.ini文件;
删除.gho备份文件;
感染exe/scr/pif/com/htm/html/asp/php/jsp/aspx文件;
通过弱口令连接局域网其他计算机传播;
建立启动项,禁止显示隐藏文件;
每隔20分钟下载http://www.ac86.cn/66/up.txt文件,下载病毒;
删除磁盘共享;
遍历服务,关闭安全中心等;
遍历注册表,删除杀毒软件启动项;
打开tom/163等网站
连接http://update.whboy.net/worm.txt下载木马文件

Win7 x86 虚拟机
IDA
OD
Apimonitor

病毒主要行为
病毒传播原理
查杀方法

关闭安全中心,杀毒软件等服务;

每个文件夹生成Desktop_.ini文件


感染exe等文件

  • 主函数
  • 自拷贝函数
    检测Desktop_.ini文件是否存在


    是否在C:\Windows\System32\drivers目录;
    不在的话拷贝过去,执行拷贝的病毒文件,并关闭当前文件;

  • 回调函数 遍历磁盘
    生成Desktop_.ini文件,感染exe等文件;

  • 计时器回调函数 感染根目录
    磁盘根目录创建setup.exeautorun.inf文件

  • 线程回调函数 遍历局域网
    创建多个线程,遍历局域网139,445端口,通过弱口令访问传播;


  • 计时器回调函数 加入启动项 禁止显示隐藏文件

  • 计时器回调函数 创建更新文件 删除共享的线程

  • 线程回调函数 获取更新文件
    连接http://www.ac86.cn/66/up.txt,下载文件



打开QQ,打开门户网站

  • 线程回调函数 删除共享


  • 计时器回调函数 创建线程删除服务


  • 打开QQ和门户网址

  • 计时器30分钟后下载木马文件
    连接http://update.whboy.net/worm.txt下载
  • 病毒文件运行
    存在释放源文件,运行脚本更名,运行源文件


    脚本文件
:try1 del "C:\360安全浏览器下载\123\setup111.exe" if exist "C:\360安全浏览器下载\123\setup111.exe" goto try1 ren "C:\360安全浏览器下载\123\setup111.exe.exe" "setup111.exe" if exist "C:\360安全浏览器下载\123\setup111.exe.exe" goto try2 "C:\360安全浏览器下载\123\setup111.exe" :try2 del %0



检测是否存在病毒进程


检测是否存在病毒进程

被感染exe文件末尾,有字符串+数字+感染标记01;数字为原始文件大小;

1F000位置处,为原始文件DOS头;在此位置提取后面的内容则为原始文件;

htm/html/php文件后面加入此链接

结束spo0lsv.exe进程
删除C:\Windows\System32\drivers文件夹中病毒文件
删除Software\Microsoft\Windows\CurrentVersion\Run中病毒启动项
恢复显示隐藏文件
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
关闭移动磁盘媒体自动播放
恢复被禁用的服务
编写文件恢复工具 遍历磁盘
删除Desktop_.ini文件;修复被感染文件

转载请标明出处:【熊猫烧香】病毒分析
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!