小K学病毒分析之【熊猫烧香】 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看楼主更多操作 0 发表于: 2023-04-08

目录0x1 样本信息 10x2 分析工具和环境 20x3 病毒分析 23.1 自校验 23.2 创建和运行部分 33.3 感染部分 63.4 自我保护部分 90x4 病毒查杀和文件恢复 120x5 总结 120x1 样本信息

0x2 分析工具和环境32位Win7 + PEID + OD + IDA0x3 病毒分析3.1 自校验病毒在启动之后，会经过两次加密字符串的解密，只有两次都成功才会真正进入核心功能。

核心功能主要由三个函数进行实现，下面进行详细分析。3.2 创建和运行部分检测当前目录是否存在Desktop_.ini文件，如果存在则删除。接着，病毒会通过检查文件路径、病毒感染标志来确定进当前病毒属于以下三种情况的哪一种情况。分别进程本身属于原始病毒文件、被感染的可执行文件、以及伪装目标进程三种情况。1. 原始病毒文件拷贝自身到 ~/system32/driver/目录，重命名为spcolsv.exe并运行，然后结束当前进程。

2. 被感染的可执行文件1）在当前目录释放被感染的原始文件2）创建自删除批处理，并运行3）拷贝病毒部分到到系统目录，伪装系统服务。

3. 伪装目录进程文件退出当前模块，执行接其他模块功能。需要注意的几点是：1. 病毒的感染标识感染PE文件后，会在文件的末尾写上标志，格式为：WhBoy+ 源文件名 + 0x2标记 + 源文件大小+0x1标记

2. 自删除批处理文件

3. 感染文件结构病毒文件 + 原始文件 + 标记字符串3.3 感染部分接下来就是扩散自身，感染其他文件或者感染其他主机，病毒会通过本地文件感染、U盘自动感染以及网络三种方式进行传播。同时，为了防止电脑用户对系统进行还原，在查找到.gho文件时，会对齐进行删除。3.3.1 感染文件部分（本地）创建一个线程，遍历所有的磁盘和文件，对文件进行感染。1）删除GHO备份

2）感染PE文件感染目标文件后缀类型有：EXE、SCR、PIF、COM具体感染请参考感染后的文件格式。感染完毕后，会在当前目录中创建Desktop_.ini，并写入日期（年-月-日），当病毒二次扫描到该目录时，会对当前日期和文件内的日期进行比较，如果时同一天就不再感染当前目录了。

3）感染web文件感染目标文件后缀类型有：Htm、html、asp、php、jsp、aspx在web文件最后加上一句，该内容在文件中是加密的，加密后在写入：

3.3.2 磁盘传播通过SetTime，每间隔6s复制自身所有磁盘的根目录，重命名为setup.exe。然后写入autorun.inf，注意这两个文件都是隐藏了。

3.3.3 网络传播利用弱密码通过139/445端口进行登陆。

3.4 自我保护部分这部分通过设定4分不同时长的定时器进行，然后定时执行下面几种操作。

3.4.1 杀进程和自启动1）遍历进程和窗口，关闭疑似杀毒软件的窗口和关闭特定杀毒软件或系统工具（间隔1秒）

2）设定自启动和隐藏文件（每隔1秒）

3.4.2 QQ木马(猜测)病毒会定时检查当前进程是否存在QQ（这部分猜的，偷懒了），如果存在则从服务器一个可执行文件并执行（具体是什么不清楚了，服务器早就没了,反正不是好东西，结合前面看到QQ的字符串，所以我直接跳过这部分，猜测是QQ盗号木马之类的）。

3.4.3 关闭共享

3.4.4 关闭杀毒软件的服务（每隔6s）关闭常见杀毒软件的服务，并删除杀毒软件的自启动项。（代码太长就不截图了）0x4 病毒查杀和文件恢复因为病毒会关闭杀软、任务管理器和注册表查看器等工具，所有会让人一开始无从下手，实际上杀死病毒进程非常容易，只需要两行命令。1) 打开控制台，通过tasklist和taskkill命令关闭spcolsv.exe进程，然后可以删除spcolsv.exe文件了。2) 关闭媒体自动播放，防止autorun启动病毒3) 打开查看隐藏文件选项，把磁盘根目录的隐藏文件删除4) 至于其他被感染的文件，由于病毒并没有破坏源文件，故可以通过简单编写小工具的方式来恢复被感染的文件。具体恢复思路请参考上面提及部分。0x5 总结这是我第一次进行病毒分析，所以挑了一个比较经典、简单的样本来做分析（没错，柿子挑软的来捏），^ _ ^。当然，这款病毒早已被人分析透了，我在这里写出来意义不大，仅用来给自己加油罢了。没有系统学习过这方面的知识，所以分析的流程和方法可能不对，希望知道的朋友们能够给点建议。接下来我会分析其他类型的病毒，希望大家喜欢，谢谢。

本帖最近评分记录：共 1 条评分飞扬币 +50