熊猫烧香病毒的分析报告

第一次写博客,这个病毒挺经典的,拿来上手。

一、病毒信息
病毒名称:熊猫烧香
MD5: 3520d3565273e41c9eeb04675d05dca8
SHA-1: bb1d8fa7ee4e59844c1feb7b27a73f9b47d36a0a
SHA-256:e7d2753d55876f89967727e909d7bcbdf36653a8be2c5f9f57789fec4d4284ed
文件类型:Win32 EXE
文件大小:61952 bytes
主要行为:1.自我复制到系统目录下并运行;
2.添加自启;
3.隐藏文件和文件夹;
4.关闭杀毒软件的服务和自启功能;
6.感染exe文件;
7.感染局域网中的主机;
8.关闭网络共享;
9.下载远程数据;
10.定时执行恶意行为。

二、分析环境与工具
环境:Windows XP SP3 32位
工具:OllyDbg、IDA Pro、Process Monitor、PEView。

三、具体行为分析

病毒没有加壳,程序由delphi编写。
熊猫烧香病毒的分析报告_第1张图片

1.自我复制到C:\WINDOWS\system32\drivers目录下并以spcolsv.exe为名运行。
熊猫烧香病毒的分析报告_第2张图片
熊猫烧香病毒的分析报告_第3张图片
熊猫烧香病毒的分析报告_第4张图片
熊猫烧香病毒的分析报告_第5张图片
2.将病毒添加自启并设置“不显示隐藏的文件和文件夹”
熊猫烧香病毒的分析报告_第6张图片熊猫烧香病毒的分析报告_第7张图片
熊猫烧香病毒的分析报告_第8张图片
3.停止杀毒软件的服务并关闭自启功能
在这里插入图片描述
熊猫烧香病毒的分析报告_第9张图片
4.在各个目录下创建了AUTOEXEC.BAT和Desktop.ini,autorun会自动运行setup.exe。
在这里插入图片描述
熊猫烧香病毒的分析报告_第10张图片
熊猫烧香病毒的分析报告_第11张图片

5.修改exe文件图标
熊猫烧香病毒的分析报告_第12张图片
6.通过139、445端口连接局域网中的主机。
熊猫烧香病毒的分析报告_第13张图片
熊猫烧香病毒的分析报告_第14张图片
熊猫烧香病毒的分析报告_第15张图片
7.运行命令关闭网络共享net share。
在这里插入图片描述
熊猫烧香病毒的分析报告_第16张图片
8.解密网址并下载。
熊猫烧香病毒的分析报告_第17张图片
熊猫烧香病毒的分析报告_第18张图片
9.在exe文件末尾添加WhBoy+原本文件名作为该文件被感染的标识。
熊猫烧香病毒的分析报告_第19张图片
10.设置计时器,分别每隔1秒、20分钟、10秒、6秒进行设置自启且不显示隐藏文件、解密网址、删除网络共享、终止杀毒软件服务。
熊猫烧香病毒的分析报告_第20张图片
四、解决方法
1.终止spcolsv.exe进程;
2.删除位于C:\Windows\System32\drivers的spcolsv.exe文件;
3.删除名为svshare的自启项;
4.将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL\CheckedValue键值更改为1;
5.删除各个路径下的AUTOEXEC.BAT、Desktop.ini;
6.打开网络共享;
7.去除exe文件末尾的感染标识、换回原图标;
8.恢复杀软的运行。

你可能感兴趣的:(熊猫烧香病毒的分析报告)