熊猫烧香

一、前言 作为本系列研究的開始，我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒，主要是由于它具有一定的代表性。一方面它当时造成了极大的影响，使得不管是不是计算机从业人员，都对其有所耳闻；还有一方面是由于这款病毒并没有多高深的技术，即便是在当时来讲，其所採用的技术手段也是非常一般的，利用我们眼下掌握的知识，足够将其剖析。因此，我相信从这个病毒入手，会让从前没有接触过病毒研究的读者打消对病毒的恐惧心理，在整个学习的过程中开个好头。 本篇文章先研究怎样对“熊猫烧香”进行手动查杀。这里所说的手动查杀，主要是指不通过编写代码的方式对病毒进行查杀。说白了，基本上就是通过鼠标的指指点点，有时再利用几条DOS命令就行实现杀毒的工作。可是不可否认的是，採用这样的方法是很粗浅的，往往不可以将病毒彻底查杀干净，可是从学习手动查杀病毒起步，有助于我们更好地理解反病毒的工作，从而为以后更加深入的讨论打下基础。 须要说明的是，手动查杀病毒并不代表在什么软件都不使用的前提下对病毒进行查杀，事实上利用一些专业的分析软件对于我们的查杀病毒的还是非常有帮助的，这些工具我会在对不同的病毒的研究中进行解说。另外，出于安全考虑，我的全部研究文章，都不会给大家提供病毒样本，请大家自行上网寻找，我仅仅会给出我所使用的病毒样本的基本信息。 二、手动查杀病毒流程 手动查杀病毒木马有一套“固定”的流程，总结例如以下： 1

自己手动复现一个熊猫烧香病毒 起因 最近逛了一下 bilibili ，偶然的一次机会，我在 bilibili 上看到了某个 up 主分享了一个他自己仿照熊猫病毒的原型制作的一个病毒的演示视频，虽然这个病毒的出现距离现在已经十多年之久了，但是它的威胁性仍然不亚于永恒之蓝，出现了很多变种病毒。我觉得蛮有意思的，有必要深究一下，所以我花上几天的时间研究了一下熊猫烧香病毒的源码，仿照熊猫烧香病毒原型，也制作了一个类似的软件，实现的源码我会在文章的末尾给出 GitHub 项目链接，喜欢的朋友不要忘记给我一个 star and follow 呀！ 熊猫烧香的介绍 熊猫烧香是一个感染性的蠕虫病毒，它能感染系统中的 exe ， com ， pif ， src ， html ， asp 等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件，该文件是一系统备份工具 GHOST 的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有的.exe可执行文件图标全部被改成熊猫烧香的图标，如下图所示： 如果有同学对熊猫烧香的来源感兴趣的话，可以看看中科大写的关于熊猫烧香的案件分析： 由“熊猫烧香”谈起 病毒结构分析 从上述的流程图中我们可以看到，含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表，将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录，增加一个

　　 熊猫烧香病毒在当年可是火的一塌糊涂，感染非常迅速，算是病毒史上比较经典的案例。不过已经比较老了，基本上没啥危害，其中的技术也都过时了。作为练手项目，开始对熊猫烧香病毒进行分析。首先准备好病毒样本(看雪论坛有)，VM虚拟机和Xp Sp3系统。样本参数如下: 病毒名称：panda.exe 文件大小：61952 bytes MD5值：3520D3565273E41C9EEB04675D05DCA8 SHA1值：BB1D8FA7EE4E59844C1FEB7B27A73F9B47D36A0A CRC32：23B6DA2A 今天说的主要是行为分析，所以还需要两个软件 ，一个是Process Monitor v3.10,一个是PCHunter。Process Monitor v3.10是微软提供的，可以监视一个进程对文件，注册表，网络和线程进程操作的工具。 PCHunter则是一个强大的ARK工具，专门对付Rootkit,我主要是想用来挂进病毒进程，发现一些隐藏的文件，和一些启动项。 首先我们在XP Sp3虚拟机中打开Process Monitor ，然后运行panda.exe病毒，这时候就开始监听熊猫烧香的一举一动。 大约运行两分钟后，我们使用PCHunter将病毒进程挂起，停止他的工作。此时你会发现进程名称不是panda.exe,而是spcolsv.exe,右键将他挂起再说。

[zt]床前明月光,熊猫在烧香 床前明月光,熊猫在烧香 专杀杀不尽,两眼泪汪汪 熊猫烧不尽，关机开又生 宝剑锋自磨砺出，熊猫香自网上来。 无边香火烧烧下，不尽熊猫滚滚来。 身心俱疲终不悔，为猫消得人憔悴 千呼万唤猫出来，犹抱香火半遮面 相见时难杀亦难，熊猫烧香百机残。 熊猫逊雪三分白，雪却输猫一炷香。 天长地久有时尽，此香绵绵无绝期。 猫儿香香烧九州，几家欢乐几家愁。 唯有烧香多放肆，敢教熊猫换小犬。 梨花院落溶溶月.天榭熊猫烧烧香. 水火刀兵无妄灾,熊猫烧香也自然. 熊猫本无心,何乎众人杀 烧香时难灭亦难，杀软无力电脑残 熊猫如此多娇, 引无数网民竟折腰 上邪~此猫欲烧吾香~山无棱~天地合~此猫杀不绝 朝辞木马卡巴间，千里熊猫一刻来． 两岸烧香停不住，病毒已染万重山. 黑夜给我黑色的熊猫 我却用它来烧香 熊猫铲尽根除日，家祭毋忘告乃机 木马未净，熊猫先行，一半机停。。 久旱逢熊猫, 它乡遇烧香。 机房杀毒夜， 明早装机时。 一提熊猫泪千行,咋知何日不烧香。 天涯何处无熊猫,何必单恋三枝香。 熊猫未死香不尽，杀毒正扫泪怎干？ 路逢熊猫须当避，不是高手莫修机。 只因世上多熊猫，才有人间百毒生。 熊猫一个能毁机，杀毒一堆也关闭。 梦里寻猫千百度,蓦然回首已在香火栅栏处 我轻轻得走来 杀不掉一根熊猫毛 未中莫笑已中者，熊猫一会到你家。 熊猫宜解不宜结，生生烧香几时休。要知前世因

多图！！！ 病毒名称：熊猫烧香 文件: spo0lsv . vir 大小: 30001 bytes 修改时间: 2007 年 1 月 17 日, 12 : 18 : 40 MD5 : 512301 C535C88255C9A252FDF70B7A03 SHA1 : CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32 : E334747C 壳信息： FSG V2 . 0 编写语言: [ Borland Delphi v6 . 0 - v7 . 0 ] 病毒行为： 拷贝自身到 C:\Windows\System32\drivers 目录， 遍历磁盘，在每个文件夹生成 Desktop_.ini 文件; 删除 .gho 备份文件； 感染 exe/scr/pif/com/htm/html/asp/php/jsp/aspx 文件； 通过弱口令连接局域网其他计算机传播； 建立启动项，禁止显示隐藏文件； 每隔20分钟下载 http://www.ac86.cn/66/up.txt 文件，下载病毒； 删除磁盘共享； 遍历服务，关闭安全中心等； 遍历注册表，删除杀毒软件启动项； 打开 tom/163 等网站 连接 http://update.whboy.net/worm.txt 下载木马文件 Win7 x86 虚拟机 IDA OD Apimonitor

分析报告 样本名 xiongmao.exe 班级 34期 作者 缪甜 时间 2019年9月28日15:45:44 平台 Windows 7 32 bit 15PB信息安全研究院(病毒分析报告) 1 ． 样本概况 1.1 样本信息 病毒名称：熊猫烧香 MD5值：512301C535C88255C9A252FDF70B7A03 SHA1值：CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32：E334747C 病毒行为：感染 exe,scr,pif,com,htm,html,asp,php,jsp,aspx类型的文件， 局域网传播病毒，注册表写入启动项，关闭共享，下载指定文件并运行 1.2 测试环境及工具 测试环境： win7 32 bit 工具： loadPe,IDA,OD,Pchunter,火绒剑 1.3 分析目标 根据病毒行为，编写专杀工具 2. 主要行为 IDA里面，源代码为如下 2.1 恶意程序对用户造成的危害 ( 图 ) 感染可执行文件，以及网页文件插入一行代码，局域网传播病毒 2.2 恶意代码分析 一开始是解密字符串，比较是否退出进程 然后是关键的三个函数 将文件拷贝到系统目录下 1.判断进程目录下是否有Desktop_ini文件，有则删除 判断该本进程文件是否在系统目录下 如果不在系统目录下，就拷贝病毒文件到系统目录下并运行

1．样本概况 1.1 应用程序信息 文件: C:\Windows\System32\drivers\spo0lsv.exe 大小: 30001 bytes 修改时间: 2007年1月17日, 12:18:40 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 简单功能介绍： \1. 自启动 \2. 删除gho文件 \3. 全盘感染指定类型文件 \4. 局域网传播 \5. 从网络下载其他恶意文件执行 \6. 删除安全管理软件服务、启动项 \7. 其他 说明: 该样本是熊猫烧香的一个变种spo0lsv.exe，高危险级别 1.2 分析环境及工具 系统环境:windows 7 32bit 工具：火绒剑、PcHunter、IDA、OllyDebug 1.3 分析目标 使用火绒剑进行行为分析，结果如下： \1. 文件操作 图 1 - 1 分析：在各敏感路径创建了spo0lsv.exe、setup.exe、autorun.inf、Desktop_.ini等文件并写入了内容。其作用暂时不明，待后面具体分析。 \2. 注册表操作 图 1 - 2 分析：注册表操作很多，能只管看出的是在启动项下创建了新的键值，以及设置了隐藏属性。 \3. 网络操作 图

转载自看雪论坛-暗夜之刃大神 https://bbs.pediy.com/thread-224773.htm 目录 0x01 分析注意事项-分析工具 0x02 病毒信息 0x03 病毒行为 0x04 脱壳 0x05 病毒初始化分析 0x06 Proc_时钟1 (时钟周期: 6000ms) 0x07 Proc_时钟2 (时钟周期: 1000ms) 0x08 Proc_时钟3 (时钟周期: 120000ms) 0x09 Proc_时钟4 (时钟周期: 10000ms) 0x10 Proc_时钟5 (时钟周期: 6000ms) 0x11 Proc_时钟6 (时钟周期: 10000ms) 0x12 Proc_时钟7 (时钟周期: 180000ms) 0x13 感染线程分析 0x14 具体感染流程分析 0x15 感染后程序的运行 0x01 分析注意事项-分析工具 (1) 这个病毒在xp系统分析比较好, Win7_64位下 “C:\WINDOWS\system32\drivers\” 目录不能运行程序. <我在这里耽误了很长的时间, 病毒分析要尽量确定病毒运行的环境, 很多病毒是在特定的环境中运行> (2) 两个很重要的API, 时钟回调 && 线程回调 都需要分析. SetTimer: 病毒经常用时钟来定时结束指定进程. CreateThread: 执行其他的代码分支,

转载自看雪论坛大神-江湖百晓生 https://bbs.pediy.com/thread-250115.htm 复现熊猫烧香 熊猫烧香的介绍 熊猫烧香是一个感染性的蠕虫病毒，它能感染系统中的 exe ，com ，pif，src，html，asp 等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件，该文件是一系统备份工具 GHOST 的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有的.exe可执行文件图标全部被改成熊猫烧香的图标，如下图所示： 病毒结构分析 从上述的流程图中我们可以看到，含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表，将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录，增加一个 autorun.inf 文件，使得用户打开该盘符时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接网站下载 DDoS 程序发起恶意攻击。 具体行为分析 病毒的主要行为分为以下三部分： 自我保护与自我复制 感染 病毒自我保护 自我保护与自我复制行为就是复制自身到系统目录、双击被感染程序可以检测判断 spcolsv.exe 是否存在，从被感染的文件分裂出病毒程序重新执行。 感染的行为主要是感染全盘(本地)、定时器感染全盘(本地)、局域网感染(联网) 病毒自我保护行为主要是设置注册表、停止杀软