【熊猫烧香】病毒分析

多图！！！

0x00 样本概况

样本信息

病毒名称：熊猫烧香
文件: spo0lsv.vir
大小: 30001 bytes
修改时间: 2007年1月17日, 12:18:40
MD5: 512301C535C88255C9A252FDF70B7A03
SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32: E334747C
壳信息：FSG V2.0
编写语言: [Borland Delphi v6.0-v7.0]

病毒行为：
拷贝自身到C:\Windows\System32\drivers目录，
遍历磁盘，在每个文件夹生成Desktop_.ini文件;
删除.gho备份文件；
感染exe/scr/pif/com/htm/html/asp/php/jsp/aspx文件；
通过弱口令连接局域网其他计算机传播；
建立启动项，禁止显示隐藏文件；
每隔20分钟下载http://www.ac86.cn/66/up.txt文件，下载病毒；
删除磁盘共享；
遍历服务，关闭安全中心等；
遍历注册表，删除杀毒软件启动项；
打开tom/163等网站
连接http://update.whboy.net/worm.txt下载木马文件

测试环境及工具

Win7 x86 虚拟机
IDA
OD
Apimonitor

分析目标

病毒主要行为
病毒传播原理
查杀方法

0x01 行为分析

执行流程

恶意行为

关闭安全中心，杀毒软件等服务；

每个文件夹生成Desktop_.ini文件

感染exe等文件

恶意代码

• 主函数
  
• 自拷贝函数
  检测Desktop_.ini文件是否存在
  
  
  是否在C:\Windows\System32\drivers目录；
  不在的话拷贝过去，执行拷贝的病毒文件，并关闭当前文件；
  
  
• 回调函数 遍历磁盘
  生成Desktop_.ini文件，感染exe等文件；
  
  
• 计时器回调函数 感染根目录
  磁盘根目录创建setup.exe和autorun.inf文件
  
  
• 线程回调函数 遍历局域网
  创建多个线程，遍历局域网139,445端口，通过弱口令访问传播；
  
  
  

• 计时器回调函数 加入启动项 禁止显示隐藏文件
  
  

• 计时器回调函数 创建更新文件 删除共享的线程

• 线程回调函数 获取更新文件
  连接http://www.ac86.cn/66/up.txt，下载文件

打开QQ，打开门户网站

• 线程回调函数 删除共享

• 计时器回调函数 创建线程删除服务
  
  
  

• 打开QQ和门户网址
  
  

• 计时器30分钟后下载木马文件
  连接http://update.whboy.net/worm.txt下载
  
• 病毒文件运行
  存在释放源文件，运行脚本更名，运行源文件
  
  
  脚本文件

:try1
del "C:\360安全浏览器下载\123\setup111.exe"
if exist "C:\360安全浏览器下载\123\setup111.exe" goto try1
ren "C:\360安全浏览器下载\123\setup111.exe.exe" "setup111.exe"
if exist "C:\360安全浏览器下载\123\setup111.exe.exe" goto try2
"C:\360安全浏览器下载\123\setup111.exe"
:try2
del %0

检测是否存在病毒进程

不存在则创建新的病毒进程

0x02 解决方案

提取特征

被感染exe文件末尾，有字符串+数字+感染标记01；数字为原始文件大小；

1F000位置处，为原始文件DOS头;在此位置提取后面的内容则为原始文件；

htm/html/php文件后面加入此链接

查杀方法

结束spo0lsv.exe进程
删除C:\Windows\System32\drivers文件夹中病毒文件
删除Software\Microsoft\Windows\CurrentVersion\Run中病毒启动项
恢复显示隐藏文件
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
关闭移动磁盘媒体自动播放
恢复被禁用的服务
编写文件恢复工具 遍历磁盘
删除Desktop_.ini文件;修复被感染文件