1.样本概况
1.1 样本信息
病毒名称:熊猫烧香
所属家族:Fujack
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
病毒行为概述:
- 文件操作行为:
0. 自我复制到C盘,C:\Windows\System32\driver目录下,结束自身并启动C:\Windows\system32\drivers\spo0lsv.exe
1. 在每个目录下创建Desktop_.ini文件,存放当前日期
2. 在C盘目录下创建了autorun.inf文件(双击磁盘自动运行),并指定了自动启动的文件为根目录下setup.exe(释放的样本文件)
- 系统操作行为:
0. 设置注册表自启动项为C:\Windows\system32\drivers\spo0lsv.exe
1. 修改资源管理器中文件的隐藏属性,设置隐藏文件不显示
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
- 进程操作行为:
0. 遍历进程,服务,窗口,及对其进行相关操作
1. 创建可执行文件
2. 对系统中的部分文件进行感染(如后缀为.exe,.com,.html,.asp,.src等),图标变为熊猫烧香
3. 执行CMD命令关闭网络共享
- 网络行为
0. 访问门户网站
1. 对局域网内的一些IP进行连接
1.2 测试环境及工具
系统环境:win7 Professional 32位(15pb实验环境)
工具:
0. 火绒剑(行为分析)
1. autorun(查看启动项,计划任务,WMI,服务等)
2. PCHunter(文件,进程等管理)
3. WSExplorer(抓包工具,分析流量)
4. OllyDbg(动态调式)
5. IDA(静态分析)
6. PEID(查壳)
7. OllyDbg(动态调试分析)
8. VirtualStdio(编写专杀工具)
1.3 分析目标
分析样本需要完成的目标:
0. 分析并记录样本产生的恶意行为
1. 对样本进行详细分析,找出恶意代码及具体实现过程
2. 对病毒的整个运行过程对应相应执行的恶意代码制作流程图
3. 提取出样本特征,完成分析报告,并编写专杀工具
2.具体行为分析
2.1 主要行为
2.1.0 病毒行为分析流程图

2.1.1 恶意程序对用户造成的危害
在虚拟机中模拟病毒运行,提取样本信息,等待病毒运行一段时间后,对计算机进行检查
1. 打开PCHunter(ARK工具)
查看进程,找到熊猫烧香的进程信息。

查看文件,发现C盘,D盘根目录都创建了两个文件setup.exe和autorun.inf创建时间与病毒运行时间相符合,使用系统文件查看器却看不到,应该是设置了隐藏和系统属性,去除属性就可以查看到,但过很短时间内却又隐藏了
猜测是设置了定时任务设置,或者进程服务等动态扫描设置

查看autorun.inf文件,执行打开setup.exe的命令

同时所有的目录下都创建了Desktop_.ini文件,同时也设置了隐藏和系统属性,但去除属性后并未将属性动态设置回去,里面只保存了当前日期


查看网络信息,在局域网内的可疑连接

将病毒文件加入在启动项中

2. 使用autorun查看启动项,计划任务,服务,WMI

3. WSExplorer抓包
不间断的对外发起外连

查看文件,计算机中的exe文件图标都换成了熊猫烧香

2.1.2 提取病毒样本
将样本中主机中提取出来

![]()
定位到病毒样本文件将文件后缀修改为.vir,提取出来
对主机进行手动清理
1. 结束可疑的恶意病毒进程
2. 删除添加的启动项
3. 将创建的样本文件spo0lsv.exe,及Desktop_.ini,anturun.inf,setup.exe删除
4. 恢复被修改的系统配置
5. 被修改的exe文件无法恢复,且点击运行后会再次激活病毒,需要进一步分析对被修改的exe文件的具体操作
2.1.3 监控样本行为
打开火绒剑工具,将病毒样本拖拽进行行为监控,设置监控所有事件

让病毒程序运行一段时间后,查看监控事件


对监控到的事件进行过滤分类详细分析
1. 文件监控
主要查看对文件的修改,创建,删除等关键操作
大致分析为对文件进行遍历,在目录下创建Desktop_.ini并写入日期,对后缀为exe,html,asp,com等文件进行写入操作,间断性的在根目录下创建setup.exe文件,aoturun.inf文件(写入内容为执行命令启动setup.exe),同时对创建的所有文件设置隐藏属性。

查看到首先创建了spo0lsv.exe并写入,接着遍历目录创建Desktop_.ini文件

然后依次对exe文件进行写入

根目录创建autorun.inf和setup.exe文件

写入html文件

创建Tmp文件

2. 进程监控
主要查看对内存的写入,创建进程,终止进程等操作


枚举进程,创建进程,跨进程写入内存,打开设备


创建cmd.exe执行命令

枚举窗口
![]()
3. 注册表监控
主要关注创建,设置,删除注册表键值的操作

创建注册表并添加键值信息


4. 网络监控
对局域网内IP的139端口发起连接,外连访问网站

5. 执行监控


6. 行为监控
较为重要的恶意行为

自启动项的修改,自我复制,释放文件等

2.2 恶意代码分析
2.2 恶意代码分析
2.2.1 获取样本信息
1. 使用查壳工具DIE获取样本文件信息,壳为FSG2.0

2. 脱壳
壳入口点

单步分析跳转到OEP
![]()
Dump设置OEP

修复IAT,设置OEP,IAT地址大小,先在内存中将间隔还原为0


获取到样本文件xiongmao_dump.exe进行详细分析
PEID深度扫描


1万+

被折叠的 条评论
为什么被折叠?



