吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 18407|回复: 61
收起左侧

[PC样本分析] 菜鸟分析之熊猫烧香病毒

  [复制链接]
L浪子 发表于 2019-10-22 13:29
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 L浪子 于 2019-10-23 13:40 编辑

分析报告

样本名 spo0lsv.exe
时间 2019.08.06
平台 Win32

目录

[TOC]

样本概况

应用程序信息

应用程序名称:spo0lsv.exe

MD5值: 512301C535C88255C9A252FDF70B7A03

SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32值:E334747C

简单功能介绍:

自我复制,关闭任务管理器,设置网络链接对外发送数据,接受数据,创建启动项

分析环境及工具

系统环境: Windows 7 32位专业版

分析工具:

1、火绒剑 ARK工具

2、PC Hunter 32 ARK 工具

3、Detect It Easy 2.04 查壳工具

4、15PBOlldbg 逆向动态分析工具

5、ImportREC 修复 IAT 工具

6、IDA PRO 逆向静态分析工具

7、HASH 哈希值查询工具

分析目标

分析病毒行为和具体执行流程

具体分析过程

通过简单的观看及ARK工具分析

打开文件管理器,发现.exe后缀格式的文件都变了



2

2

打开任务管理器,发现会被自动关闭


3

3

打开PCHUNTER,就发现了可疑进程


4

4

查看启动信息看启动项那项,发现可疑启动项


5

5

查看网络那项,发现可疑网络链接


6

6

通过抓包软件看出发送接受的数据是部分加密的,未加密的猜测是测试是否能上网络


7

7

通过火绒剑进行行为分析

通过之前的分析知道会改变图标所以对文件操作,通过动作过滤,进行文件写入修改监控,发现会在C:\Windows\System32\drivers\ 下,建立 spo0lsv.exe 文件,猜测为恶意代码,并修改它的属性,如下图


8

8


9

9

写入文件


10

10

修改属性


11

11

通过之前的分析知道会设置启动项,如上,动作过滤,通过监控注册表设置行为


12

12

并且修改了 IE 设置


13

13

通过之前的分析知道会自动关闭任务管理器, 监控进程行为如下图

发现枚举进程的动作


14

14

发现打开进程动作,创建进程,跨进程恢复进程,写入内存,猜测与自释放,感染文件有关


15

15

发现打开设备动作,看了调用栈,猜测与网路数据相关


16

16

发现查找窗口动作


17

17

通过之前的分析知道会连接网络,发送接受数据, 监控网络行为如下图:


18

18

查看火绒剑的行为分析如下图:


19

19

执行行为中发现一个删除网络共享的指令如下图:


20

20

简单分析小结:

01.会改变图标

02.会关闭任务管理器

03.会传输网络数据

04.会复制自己到 C:\Windows\System32\drivers\ 下

05.会写入一个系统配置文件后缀为ini, 文件内里内容为日期

06.修改注册表信息,在把自己设为启动项

07.会修改注册表中的 IE 设置

08.猜测会感染其他正常后缀为 exe 文件

09.会打开网络设备,收发数据.

10.会与局域网连接,会关闭网络共享

通过IDA和OD详细分析

首先查壳工具使用工具detect it easy 查壳


21

21

脱壳


这里可以直接使用吾爱破解工具包内的脱壳工具,直接脱壳
使用 Ollydbg 和 ImportREC 脱壳, 已脱壳如下图:


22

22


使用IDA PRO 分析

使用 IDA 静态分析,进入IDA 加载病毒,然后 F5 直接转换伪 C 代码,根据伪 C 代码,发现 OEP 函数一开始全是初始化变量, 调用第一个函数sub405250,其参数有字符串"xboy",后另一次调用,参数有字符串"whboy"在调用 sub_405250 后,有 LStrCmp 字符串比较函数的调用, 之后有判断返回值的代码, 猜测函数 sub_405250 是个解密字符串函数,剩下 sub_ 开头的函数,应该是恶意代码函数, 在末尾有一个消息循环,猜测是等待恶意代码执行完毕, 函数才会退出,如下图:


23

23

分析各个执行恶意代码函数

重要函数 sub_40819C 此函数主要功能就是复制自身到系统驱动目录下,然后执行复制的文件,如下图:


24

24

重要函数 sub_40D18C 此函数内有三个函数, 分别功能:

  1. sub_40A5B0 创建线程,遍历目录创建Desktop_.ini,如下图:

25

25

26

26


27

27


发现内有重写文件操作,猜测是感染文件,如下图:

28

28


感染函数为 sub_407F00 ,函数内部如下图:

29

29


sub_4079CC函数是对感染的文件追加内容,如下图:

30

30


函数内部,如下图:

31

31


2. sub_40C374 设置定时器,在C盘下创建setup.exe,autorun.inf,如下图:

函数内部如下:

32

32


回调函数主要代码如下:

33

33


34

34


3. sub_40BACC 创建线程,网络连接,对局域网进行感染,如下图

35

35


sub_40BA8C 回调函数内部如下:

36

36


sub_408864 函数内部如下:

37

37


重要函数 sub_40D088此函数内有六个定时器函数, 分别功能:

38

38


1. 设置定时器,创建线程,结束杀毒软件进程,创建注册表,将开机启动和隐藏功能写入,sub_40CEE4回调函数如下图:

image39.png

sub_406E2C为创建结束进程函数,如下图:

40

40


回调如下图:

41

41

42

42


2. 设置定时器从网络下载文件,并运行它,回调函数作用如下图:

43

43


3. 设置定时器,下载文件,并运行它,关闭网络文件夹,回调函数主要作用如下图

44

44


sub_40CDEC 内如下图:

45

45


4. 设置定时器,设置注册表,停止和删除服务

46

46


5. 设置定时器,从网络下载数据

47

47


6. 设置定时器,从指定网络地址下载程序,运行程序

48

48

至此,分析基本结束.

总结

熊猫烧香病毒会自我复制.感染后缀为exe,scr,pif,com,htm,html,asp,php,jsp,apsx的文件,设置磁盘根目录系统配置文件,当打开文件夹(盘符)时自动运行病毒文件,感染磁盘下的文件.获取网络连接,对局域网内的其他电脑进行感染操作.当病毒运行时对一些杀毒软件进行结束操作,创建新的注册表,设置病毒文件开机启动及隐藏病毒,从网络上下载恶意代码.

解决方案如下:

手工查杀

1) 利用PCHunter工具结束进程,并删除spo0lsv.exe文件

2) 清除启动项,关闭svcshare启动项

3) 删除autorun.inf 和 setup.exe

4) 清除每个盘符下的Desktop_.ini文件

5)打开注册表, HKLM\Microsoft\Windows\CurrentVersion\Explore\
Advanced\Folder\Hidden\SHOWALL\CheckValue,将CheckValue的值设为1。

专杀病毒工具

病毒是对启动项做了设置,对被感染文件进行了一定的修改,复制了自己到系统文件,编写专杀工具清除病毒,工具及源码以附在当前文档目录下.

参考文献

[1] 15PB教研组. 恶意代码分析实例 熊猫烧香.

[2] 15PB教研组. 恶意代码

[3] ioio_jy 的<病毒木马查杀实战第004篇:熊猫烧香之专杀工具的编写> https://blog.csdn.net/ioio_jy/article/details/40961557



具体已写成doc,链接如下:
链接:https://pan.baidu.com/s/19mK47ss-7olSosRs8A-KLw&shfl=sharepset
提取码:8u48

专杀源码
链接:https://pan.baidu.com/s/1N00LImICPTrbfIC3UDvc-g&shfl=sharepset
提取码:gfax

免费评分

参与人数 19威望 +1 吾爱币 +24 热心值 +19 收起 理由
Daihui + 1 + 1 用心讨论,共获提升!
呲花bia + 1 + 1 用心讨论,共获提升!
menghuan_ling + 1 热心回复!
梦迪路法 + 1 + 1 热心回复!
白无常 + 1 + 1 谢谢@Thanks!
dldl + 1 + 1 谢谢@Thanks!
freeboy + 1 + 1 我很赞同!
deku + 1 热心回复!
天星散人 + 1 + 1 用心讨论,共获提升!
fei8255 + 1 + 1 用心讨论,共获提升!
zlong0413 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Hmily + 1 + 7 + 1 用心讨论,共获提升!
逝去的流梦 + 1 + 1 帮我分析一下这个是不是熊猫?:链接:https://pan.baidu.com/s/1YAiyH81Fva.
星夜丶Tp + 1 + 1 学习学习
众益科技 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hackcat + 1 + 1 我很赞同!
thinkpad_420 + 1 + 1 热心回复!
我是咕噜 + 1 + 1 我很赞同!
aakk007 + 1 + 1 膜拜大佬!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| L浪子 发表于 2019-11-5 10:54
freeboy 发表于 2019-11-5 09:26
菜鸟问,64位系统对病毒有影响吗?

不是大佬,我的愚见是没影响,因为64位兼容32位程序,如果是32位系统运行64位程序,是会影响!
弘德书院 发表于 2019-10-23 11:08
L浪子 发表于 2019-10-23 10:55
不,是15pb的,只是觉得应该把自己的分析,捋捋,所以就写了下发论坛了,虽然学的不咋,但还不需要混学分,

是不是,心里明白就行,一个是看雪,一个是吾爱。还有面试的时候千万别拿培训的时候教的那些样本,在公司里都成笑话了。比如:某领导说 : 今天的面试这个怎么样,面试官:培训机构出来的,领导:那个培训的。面试官:坦克班的 。   领导:哦哦哦  ,某某你们班的   
黑色切线 发表于 2019-10-22 13:38
xujian 发表于 2019-10-22 14:15
大佬大佬  
X5ZJ 发表于 2019-10-22 14:19
感谢分享,是不是在虚拟机里演示的。还是不操作了吧
 楼主| L浪子 发表于 2019-10-22 14:38
X5ZJ 发表于 2019-10-22 14:19
感谢分享,是不是在虚拟机里演示的。还是不操作了吧

嗯,虚拟机里操作的
 楼主| L浪子 发表于 2019-10-22 14:39

我是菜逼
Hmily 发表于 2019-10-22 14:43
@L浪子 图片可以不用md的语法,直接点击图片贴到正文就行了。

免费评分

参与人数 1吾爱币 +2 热心值 +1 收起 理由
L浪子 + 2 + 1 谢谢@Thanks!

查看全部评分

 楼主| L浪子 发表于 2019-10-22 14:58
Hmily 发表于 2019-10-22 14:43
@L浪子 图片可以不用md的语法,直接点击图片贴到正文就行了。

感谢Hmily

点评

我看你现在是把附件删除了?但你图片还引用了之前的,这样过一会缓存失效的时候图片可能就不显示了。  详情 回复 发表于 2019-10-22 15:08
aakk007 发表于 2019-10-22 15:05
前台混脸熟!
JuncoJet 发表于 2019-10-22 15:06
熊猫烧香又复出了?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 17:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表