熊猫烧香病毒分析

1样本概况

1.1 样本信息

病毒名称:熊猫烧香

所属家族:Fujack

MD5值:512301C535C88255C9A252FDF70B7A03

SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32:E334747C

病毒行为概述:

- 文件操作行为:

0. 自我复制到C盘,C:\Windows\System32\driver目录下,结束自身并启动C:\Windows\system32\drivers\spo0lsv.exe

          1. 在每个目录下创建Desktop_.ini文件,存放当前日期

2. 在C盘目录下创建了autorun.inf文件(双击磁盘自动运行),并指定了自动启动的文件为根目录下setup.exe(释放的样本文件)

- 系统操作行为:

          0. 设置注册表自启动项为C:\Windows\system32\drivers\spo0lsv.exe

          1. 修改资源管理器中文件的隐藏属性,设置隐藏文件不显示

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

- 进程操作行为:

0. 遍历进程,服务,窗口,及对其进行相关操作

          1. 创建可执行文件

2. 对系统中的部分文件进行感染(如后缀为.exe,.com,.html,.asp,.src等),图标变为熊猫烧香

3. 执行CMD命令关闭网络共享

- 网络行为

0. 访问门户网站

1. 对局域网内的一些IP进行连接

1.2 测试环境及工具

系统环境:win7 Professional 32位(15pb实验环境)

工具:

0. 火绒剑(行为分析)

1. autorun(查看启动项,计划任务,WMI,服务等)

2. PCHunter(文件,进程等管理)

3. WSExplorer(抓包工具,分析流量)

4. OllyDbg(动态调式)

5. IDA(静态分析)

6. PEID(查壳)

7. OllyDbg(动态调试分析)

8. VirtualStdio(编写专杀工具)

1.3 分析目标

分析样本需要完成的目标:

    0. 分析并记录样本产生的恶意行为

    1. 对样本进行详细分析,找出恶意代码及具体实现过程

    2. 对病毒的整个运行过程对应相应执行的恶意代码制作流程图

    3. 提取出样本特征,完成分析报告,并编写专杀工具

2.具体行为分析

2.1 主要行为

2.1.0 病毒行为分析流程图

 

2.1.1 恶意程序对用户造成的危害

在虚拟机中模拟病毒运行,提取样本信息,等待病毒运行一段时间后,对计算机进行检查

1. 打开PCHunter(ARK工具)

查看进程,找到熊猫烧香的进程信息。

查看文件,发现C盘,D盘根目录都创建了两个文件setup.exe和autorun.inf创建时间与病毒运行时间相符合,使用系统文件查看器却看不到,应该是设置了隐藏和系统属性,去除属性就可以查看到,但过很短时间内却又隐藏了

猜测是设置了定时任务设置,或者进程服务等动态扫描设置

查看autorun.inf文件,执行打开setup.exe的命令

同时所有的目录下都创建了Desktop_.ini文件,同时也设置了隐藏和系统属性,但去除属性后并未将属性动态设置回去,里面只保存了当前日期

查看网络信息,在局域网内的可疑连接

    将病毒文件加入在启动项中

2. 使用autorun查看启动项,计划任务,服务,WMI

3. WSExplorer抓包

不间断的对外发起外连

查看文件,计算机中的exe文件图标都换成了熊猫烧香

2.1.2 提取病毒样本

将样本中主机中提取出来

定位到病毒样本文件将文件后缀修改为.vir,提取出来

对主机进行手动清理

1. 结束可疑的恶意病毒进程

2. 删除添加的启动项

3. 将创建的样本文件spo0lsv.exe,及Desktop_.ini,anturun.inf,setup.exe删除

4. 恢复被修改的系统配置

5. 被修改的exe文件无法恢复,且点击运行后会再次激活病毒,需要进一步分析对被修改的exe文件的具体操作

2.1.3 监控样本行为

打开火绒剑工具,将病毒样本拖拽进行行为监控,设置监控所有事件

让病毒程序运行一段时间后,查看监控事件

对监控到的事件进行过滤分类详细分析

1. 文件监控

主要查看对文件的修改,创建,删除等关键操作

大致分析为对文件进行遍历,在目录下创建Desktop_.ini并写入日期,对后缀为exe,html,asp,com等文件进行写入操作,间断性的在根目录下创建setup.exe文件,aoturun.inf文件(写入内容为执行命令启动setup.exe),同时对创建的所有文件设置隐藏属性。

 

查看到首先创建了spo0lsv.exe并写入,接着遍历目录创建Desktop_.ini文件

然后依次对exe文件进行写入

根目录创建autorun.inf和setup.exe文件

写入html文件

创建Tmp文件

2. 进程监控

主要查看对内存的写入,创建进程,终止进程等操作

枚举进程,创建进程,跨进程写入内存,打开设备

创建cmd.exe执行命令

枚举窗口

3. 注册表监控

    主要关注创建,设置,删除注册表键值的操作

创建注册表并添加键值信息

4. 网络监控

    对局域网内IP的139端口发起连接,外连访问网站

 

5. 执行监控

6. 行为监控

较为重要的恶意行为

自启动项的修改,自我复制,释放文件等

2.2 恶意代码分析

2.2 恶意代码分析

2.2.1 获取样本信息

1. 使用查壳工具DIE获取样本文件信息,壳为FSG2.0

2. 脱壳

壳入口点

单步分析跳转到OEP

Dump设置OEP

修复IAT,设置OEP,IAT地址大小,先在内存中将间隔还原为0

获取到样本文件xiongmao_dump.exe进行详细分析

PEID深度扫描

2.2.2 IDA + OD分析代

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值