菜鸟分析之熊猫烧香病毒

本帖最后由 L浪子 于 2019-10-22 14:37 编辑

[md]分析报告

样本名 spo0lsv.exe

时间
2019.08.06

平台
Win32

目录

[TOC]

样本概况

应用程序信息

应用程序名称:spo0lsv.exe

MD5值: 512301C535C88255C9A252FDF70B7A03

SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32值:E334747C

简单功能介绍:

自我复制,关闭任务管理器,设置网络链接对外发送数据,接受数据,创建启动项

分析环境及工具

系统环境: Windows 7 32位专业版

分析工具:

1、火绒剑 ARK工具

2、PC Hunter 32 ARK 工具

3、Detect It Easy 2.04 查壳工具

4、15PBOlldbg 逆向动态分析工具

5、ImportREC 修复 IAT 工具

6、IDA PRO 逆向静态分析工具

7、HASH 哈希值查询工具

分析目标

分析病毒行为和具体执行流程

具体分析过程

通过简单的观看及ARK工具分析

打开文件管理器,发现.exe后缀格式的文件都变了

https://attach.52pojie.cn/forum/201910/22/134351lrh952hgp9u5ptsz.png

打开任务管理器,发现会被自动关闭

https://attach.52pojie.cn//forum/201910/22/134215j33j0cjbw3bncnzy.gif?l

打开PCHUNTER,就发现了可疑进程

https://attach.52pojie.cn/forum/201910/22/134402noizkxievfvainlx.png

查看启动信息看启动项那项,发现可疑启动项

https://attach.52pojie.cn/forum/201910/22/134408hz747seso8443g7s.png

查看网络那项,发现可疑网络链接

[img=1077,725]https://attach.52pojie.cn/forum/201910/22/134415o3jrnrrur00yrw8p.png[/img]

通过抓包软件看出发送接受的数据是部分加密的,未加密的猜测是测试是否能上网络

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134422t7zllmo8338cxmcc.png[/img]

通过火绒剑进行行为分析

通过之前的分析知道会改变图标所以对文件操作,通过动作过滤,进行文件写入修改监控,发现会在C:\Windows\System32\drivers\ 下,建立 spo0lsv.exe 文件,猜测为恶意代码,并修改它的属性,如下图

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134429uva7absavpibgvv7.png[/img]

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134435gblyzozi7kg4opky.png[/img]

写入文件

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134442latwvlbvhkt5ittt.png[/img]

修改属性

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134448wcvbcr7oorrgv67r.png[/img]

通过之前的分析知道会设置启动项,如上,动作过滤,通过监控注册表设置行为

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134455rhgghzvdtutoidmm.png[/img]

并且修改了 IE 设置

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134502hlb0ymvlwfenfe02.png[/img]

2.1.7.3通过之前的分析知道会自动关闭任务管理器, 监控进程行为如下图

发现枚举进程的动作

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134508bvsvqhqtijjt0jiu.png[/img]

发现打开进程动作,创建进程,跨进程恢复进程,写入内存,猜测与自释放,感染文件有关
[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134515kbysktpxxpvr4c4h.png[/img]

发现打开设备动作,看了调用栈,猜测与网路数据相关

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134521wweyww5yc1q8byyz.png[/img]

发现查找窗口动作

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134527lqe4eddsk41zob11.png[/img]

2.1.7.4通过之前的分析知道会连接网络,发送接受数据, 监控网络行为如下图:

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134533v9j7zx6jjjrs36rs.png[/img]

2.1.7.5查看火绒剑的行为分析如下图:
[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134539farc9k9xm9wa19ag.png[/img]

2.1.7.6 执行行为中发现一个删除网络共享的指令如下图:
[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134545yqbeq2554993dqb5.png[/img]

简单分析小结:

01.会改变图标

02.会关闭任务管理器

03.会传输网络数据

04.会复制自己到 C:\Windows\System32\drivers\ 下

05.会写入一个系统配置文件后缀为ini, 文件内里内容为日期

06.修改注册表信息,在把自己设为启动项

07.会修改注册表中的 IE 设置

08.猜测会感染其他正常后缀为 exe 文件

09.会打开网络设备,收发数据.

10.会与局域网连接,会关闭网络共享

通过IDA和OD详细分析

首先查壳工具使用工具detect it easy 查壳

[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134551oalfaxty22tv8xr2.png[/img]

脱壳

使用 OllyDbg 和 ImportREC 脱壳, 已脱壳如下图:
[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134556f2z4dxgyp4rgag2p.png[/img]

使用IDA PRO 分析

使用 IDA 静态分析,进入IDA 加载病毒,然后 F5 直接转换伪 C 代码,根据伪 C 代码,发现 OEP 函数一开始全是初始化变量, 调用第一个函数sub405250,其参数有字符串"xboy",后另一次调用,参数有字符串"whboy"在调用 sub_405250 后,有 LStrCmp 字符串比较函数的调用, 之后有判断返回值的代码, 猜测函数 sub_405250 是个解密字符串函数,剩下 sub_ 开头的函数,应该是恶意代码函数, 在末尾有一个消息循环,猜测是等待恶意代码执行完毕, 函数才会退出,如下图:
[img=1223,725]https://attach.52pojie.cn/forum/201910/22/134602aupgasqmeao2e11g.png[/img]

分析各个执行恶意代码函数

重要函数 sub_40819C 此函数主要功能就是复制自身到系统驱动目录下,然后执行复制的文件,如下图:
[img=1053,716]https://attach.52pojie.cn/forum/201910/22/134607u2wxdffs3fkqq2d0.png[/img]

重要函数 sub_40D18C 此函数内有三个函数, 分别功能:

  1. sub_40A5B0 创建线程,遍历目录创建Desktop_.ini,如下图:
    [img=740,436]https://attach.52pojie.cn/forum/201910/22/134611ulv5pifgt4ivqijg.png[/img]
    [img=632,438]https://attach.52pojie.cn/forum/201910/22/134616vibteuj7j1le3zet.png[/img]

[img=730,521]https://attach.52pojie.cn/forum/201910/22/134621laxawajzzxgngjfu.png[/img]

发现内有重写文件操作,猜测是感染文件,如下图:

[img=633,536]https://attach.52pojie.cn/forum/201910/22/134625hkbmei022q5gl005.png[/img]

感染函数为 sub_407F00 ,函数内部如下图:
[img=682,494]https://attach.52pojie.cn/forum/201910/22/134629okg138k1r32ykthx.png[/img]

sub_4079CC函数是对感染的文件追加内容,如下图:

[img=429,107]https://attach.52pojie.cn/forum/201910/22/134634mdldwywguvmtzwvm.png[/img]

函数内部,如下图:

[img=429,107]https://attach.52pojie.cn/forum/201910/22/134638ifffzcihe7aaeddf.png[/img]

  1. sub_40C374 设置定时器,在C盘下创建setup.exe,autorun.inf,如下图:

    函数内部如下:
    [img=964,257]https://attach.52pojie.cn/forum/201910/22/134642wf12fskvd8i41d4g.png[/img]

    回调函数主要代码如下:

[img=891,101]https://attach.52pojie.cn/forum/201910/22/134646kxs6xb5bxxb8dxfh.png[/img]

[img=578,317]https://attach.52pojie.cn/forum/201910/22/134649oknax8xiglx2ggjc.png[/img]

  1. sub_40BACC 创建线程,网络连接,对局域网进行感染,如下图

[img=1051,370]https://attach.52pojie.cn/forum/201910/22/134653bwj50z457a4j6s6q.png[/img]

sub_40BA8C 回调函数内部如下:

[img=600,104]https://attach.52pojie.cn/forum/201910/22/134657gohxxiroi2roiioz.png[/img]

sub_408864 函数内部如下:

[img=718,434]https://attach.52pojie.cn/forum/201910/22/134700nlb11oxdcxxhlpfc.png[/img]

重要函数 sub_40D088此函数内有六个定时器函数, 分别功能:

[img=718,434]https://attach.52pojie.cn/forum/201910/22/134703agnyov6v6ttyzk6k.png[/img]

  1. 设置定时器,创建线程,结束杀毒软件进程,创建注册表,将开机启动和隐藏功能写入,sub_40CEE4回调函数如下图:

[img=892,108]https://attach.52pojie.cn/forum/201910/22/134706z9fjbrddetjtk88r.png[/img]

sub_406E2C为创建结束进程函数,如下图:

[img=962,163]https://attach.52pojie.cn/forum/201910/22/134710rdswda10fs8s0gu8.png[/img]

回调如下图:
[img=634,46]https://attach.52pojie.cn/forum/201910/22/134713nrgakim79i02g0yz.png[/img]
[img=581,174]https://attach.52pojie.cn/forum/201910/22/134717m4vokqqnvbueo5dk.png[/img]

  1. 设置定时器从网络下载文件,并运行它,回调函数作用如下图:

[img=571,232]https://attach.52pojie.cn/forum/201910/22/134720d1dzdis9h6ia1iix.png[/img]

  1. 设置定时器,下载文件,并运行它,关闭网络文件夹,回调函数主要作用如下图

[img=656,615]https://attach.52pojie.cn/forum/201910/22/134722bq9qo8ne8popzzpq.png[/img]

sub_40CDEC 内如下图:

[img=835,96]https://attach.52pojie.cn/forum/201910/22/134725bpa8kibpzkv8ibbb.png[/img]

  1. 设置定时器,设置注册表,停止和删除服务
    [img=991,121]https://attach.52pojie.cn/forum/201910/22/134728uefz21k3kk1kb13z.png[/img]

  2. 设置定时器,从网络下载数据

[img=991,121]https://attach.52pojie.cn/forum/201910/22/134730rzl005iozglgf25l.png[/img]

  1. 设置定时器,从指定网络地址下载程序,运行程序

[img=714,410]https://attach.52pojie.cn/forum/201910/22/134732kneq4a526e02ej0t.png[/img]
至此,分析基本结束.

总结

熊猫烧香病毒会自我复制.感染后缀为exe,scr,pif,com,htm,html,asp,php,jsp,apsx的文件,设置磁盘根目录系统配置文件,当打开文件夹(盘符)时自动运行病毒文件,感染磁盘下的文件.获取网络连接,对局域网内的其他电脑进行感染操作.当病毒运行时对一些杀毒软件进行结束操作,创建新的注册表,设置病毒文件开机启动及隐藏病毒,从网络上下载恶意代码.

解决方案如下:

手工查杀

1) 利用PCHunter工具结束进程,并删除spo0lsv.exe文件

2) 清除启动项,关闭svcshare启动项

3) 删除autorun.inf 和 setup.exe

4) 清除每个盘符下的Desktop_.ini文件

5)打开注册表, HKLM\Microsoft\Windows\CurrentVersion\Explore\
Advanced\Folder\Hidden\SHOWALL\CheckValue,将CheckValue的值设为1。

专杀病毒工具

病毒是对启动项做了设置,对被感染文件进行了一定的修改,复制了自己到系统文件,编写专杀工具清除病毒,工具及源码以附在当前文档目录下.

参考文献

[1] 15PB教研组. 恶意代码分析实例 熊猫烧香.

[2] 15PB教研组. 恶意代码

[3] ioio_jy 的<病毒木马查杀实战第004篇:熊猫烧香之专杀工具的编写> https://blog.csdn.net/ioio_jy/article/details/40961557

[/md]

具体已写成doc,链接如下:
链接:https://pan.baidu.com/s/19mK47ss-7olSosRs8A-KLw&shfl=sharepset
提取码:8u48

专杀源码
链接:https://pan.baidu.com/s/1N00LImICPTrbfIC3UDvc-g&shfl=sharepset
提取码:gfax

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消
    昵称