[分享]菜鸟分析之熊猫烧香病毒

分析报告

样本名	spo0lsv.exe
时间	2019.08.06
平台	Win32

目录


[TOC]

样本概况



应用程序信息


应用程序名称：spo0lsv.exe
MD5值： 512301C535C88255C9A252FDF70B7A03
SHA1值：CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32值:E334747C
简单功能介绍：
自我复制,关闭任务管理器,设置网络链接对外发送数据,接受数据,创建启动项

分析环境及工具


系统环境: Windows 7 32位专业版
分析工具:
1、火绒剑 ARK工具
2、PC Hunter 32 ARK 工具
3、Detect It Easy 2.04 查壳工具
4、15PBOlldbg 逆向动态分析工具
5、ImportREC 修复 IAT 工具
6、IDA PRO 逆向静态分析工具
7、HASH 哈希值查询工具

分析目标


分析病毒行为和具体执行流程

具体分析过程



通过简单的观看及ARK工具分析



打开文件管理器,发现.exe后缀格式的文件都变了




打开任务管理器,发现会被自动关闭




打开PCHUNTER，就发现了可疑进程




查看启动信息看启动项那项，发现可疑启动项




查看网络那项，发现可疑网络链接




通过抓包软件看出发送接受的数据是部分加密的,未加密的猜测是测试是否能上网络




通过火绒剑进行行为分析



通过之前的分析知道会改变图标所以对文件操作,通过动作过滤,进行文件写入修改监控,发现会在C:WindowsSystem32drivers 下,建立 spo0lsv.exe 文件,猜测为恶意代码,并修改它的属性,如下图



写入文件

修改属性


通过之前的分析知道会设置启动项,如上,动作过滤,通过监控注册表设置行为



并且修改了 IE 设置


通过之前的分析知道会自动关闭任务管理器, 监控进程行为如下图


发现枚举进程的动作

发现打开进程动作,创建进程,跨进程恢复进程,写入内存,猜测与自释放,感染文件有关

发现打开设备动作,看了调用栈,猜测与网路数据相关

发现查找窗口动作


通过之前的分析知道会连接网络,发送接受数据, 监控网络行为如下图:




查看火绒剑的行为分析如下图:




执行行为中发现一个删除网络共享的指令如下图:




简单分析小结:


01.会改变图标
02.会关闭任务管理器
03.会传输网络数据
04.会复制自己到 C:WindowsSystem32drivers 下
05.会写入一个系统配置文件后缀为ini, 文件内里内容为日期
06.修改注册表信息,在把自己设为启动项
07.会修改注册表中的 IE 设置
08.猜测会感染其他正常后缀为 exe 文件
09.会打开网络设备,收发数据.
10.会与局域网连接,会关闭网络共享

通过IDA和OD详细分析



首先查壳工具使用工具detect it easy 查壳


<h3 id="28268761_<a href=" https:="" www.52pojie.cn="" forum-5-1.html"="" target="_blank" class="relatedlink" style="word-wrap: break-word; margin: 20px 0px; padding: 0px; border-bottom-width: 2px; border-bottom-style: solid; border-bottom-color: rgb(204, 204, 204);">脱壳">脱壳这里可以直接使用吾爱破解工具包内的脱壳工具,直接脱壳使用 OllyDbg 和 ImportREC 脱壳, 已脱壳如下图:


使用IDA PRO 分析


使用 IDA 静态分析,进入IDA 加载病毒,然后 F5 直接转换伪 C 代码,根据伪 C 代码,发现 OEP 函数一开始全是初始化变量, 调用第一个函数sub405250,其参数有字符串"xboy",后另一次调用,参数有字符串"whboy"在调用 sub_405250 后,有 LStrCmp 字符串比较函数的调用, 之后有判断返回值的代码, 猜测函数 sub_405250 是个解密字符串函数,剩下 sub_ 开头的函数,应该是恶意代码函数, 在末尾有一个消息循环,猜测是等待恶意代码执行完毕, 函数才会退出,如下图:

分析各个执行恶意代码函数
重要函数 sub_40819C 此函数主要功能就是复制自身到系统驱动目录下,然后执行复制的文件,如下图:

重要函数 sub_40D18C 此函数内有三个函数, 分别功能:

1. sub_40A5B0 创建线程,遍历目录创建Desktop_.ini,如下图:

发现内有重写文件操作,猜测是感染文件,如下图: 感染函数为 sub_407F00 ,函数内部如下图: sub_4079CC函数是对感染的文件追加内容,如下图: 函数内部,如下图: 2. sub_40C374 设置定时器,在C盘下创建setup.exe,autorun.inf,如下图:函数内部如下: 回调函数主要代码如下: 3. sub_40BACC 创建线程,网络连接,对局域网进行感染,如下图 sub_40BA8C 回调函数内部如下: sub_408864 函数内部如下: 重要函数 sub_40D088此函数内有六个定时器函数, 分别功能: 1. 设置定时器,创建线程,结束杀毒软件进程,创建注册表,将开机启动和隐藏功能写入,sub_40CEE4回调函数如下图: sub_406E2C为创建结束进程函数,如下图: 回调如下图: 2. 设置定时器从网络下载文件,并运行它,回调函数作用如下图: 3. 设置定时器,下载文件,并运行它,关闭网络文件夹,回调函数主要作用如下图 sub_40CDEC 内如下图: 4. 设置定时器,设置注册表,停止和删除服务 5. 设置定时器,从网络下载数据 6. 设置定时器,从指定网络地址下载程序,运行程序 至此,分析基本结束.


总结


熊猫烧香病毒会自我复制.感染后缀为exe,scr,pif,com,htm,html,asp,php,jsp,apsx的文件,设置磁盘根目录系统配置文件,当打开文件夹(盘符)时自动运行病毒文件,感染磁盘下的文件.获取网络连接,对局域网内的其他电脑进行感染操作.当病毒运行时对一些杀毒软件进行结束操作,创建新的注册表,设置病毒文件开机启动及隐藏病毒,从网络上下载恶意代码.

解决方案如下:



手工查杀


1) 利用PCHunter工具结束进程,并删除spo0lsv.exe文件
2) 清除启动项,关闭svcshare启动项
3) 删除autorun.inf 和 setup.exe
4) 清除每个盘符下的Desktop_.ini文件
5)打开注册表, HKLMMicrosoftWindowsCurrentVersionExploreAdvancedFolderHiddenSHOWALLCheckValue,将CheckValue的值设为1。

专杀病毒工具


病毒是对启动项做了设置,对被感染文件进行了一定的修改,复制了自己到系统文件,编写专杀工具清除病毒,工具及源码以附在当前文档目录下.
参考文献
[1] 15PB教研组. 恶意代码分析实例 熊猫烧香.
[2] 15PB教研组. 恶意代码
[3] ioio_jy 的<病毒木马查杀实战第004篇：熊猫烧香之专杀工具的编写> https://blog.csdn.net/ioio_jy/article/details/40961557具体已写成doc,链接如下:链接：https://pan.baidu.com/s/19mK47ss-7olSosRs8A-KLw&shfl=sharepset 提取码：8u48 专杀源码链接：https://pan.baidu.com/s/1N00LImICPTrbfIC3UDvc-g&shfl=sharepset 提取码：gfax

来看一下

不错，了解了