熊猫烧香病毒的分析报告

第一次写博客，这个病毒挺经典的，拿来上手。

一、病毒信息
病毒名称：熊猫烧香
MD5： 3520d3565273e41c9eeb04675d05dca8
SHA-1： bb1d8fa7ee4e59844c1feb7b27a73f9b47d36a0a
SHA-256：e7d2753d55876f89967727e909d7bcbdf36653a8be2c5f9f57789fec4d4284ed
文件类型：Win32 EXE
文件大小：61952 bytes
主要行为：1.自我复制到系统目录下并运行；
2.添加自启；
3.隐藏文件和文件夹；
4.关闭杀毒软件的服务和自启功能；
6.感染exe文件；
7.感染局域网中的主机；
8.关闭网络共享；
9.下载远程数据；
10.定时执行恶意行为。

二、分析环境与工具
环境：Windows XP SP3 32位
工具：OllyDbg、IDA Pro、Process Monitor、PEView。

三、具体行为分析

病毒没有加壳，程序由delphi编写。

1.自我复制到C:\WINDOWS\system32\drivers目录下并以spcolsv.exe为名运行。




2.将病毒添加自启并设置“不显示隐藏的文件和文件夹”


3.停止杀毒软件的服务并关闭自启功能


4.在各个目录下创建了AUTOEXEC.BAT和Desktop.ini，autorun会自动运行setup.exe。

5.修改exe文件图标

6.通过139、445端口连接局域网中的主机。



7.运行命令关闭网络共享net share。


8.解密网址并下载。


9.在exe文件末尾添加WhBoy+原本文件名作为该文件被感染的标识。

10.设置计时器，分别每隔1秒、20分钟、10秒、6秒进行设置自启且不显示隐藏文件、解密网址、删除网络共享、终止杀毒软件服务。

四、解决方法
1.终止spcolsv.exe进程；
2.删除位于C:\Windows\System32\drivers的spcolsv.exe文件；
3.删除名为svshare的自启项；
4.将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL\CheckedValue键值更改为1；
5.删除各个路径下的AUTOEXEC.BAT、Desktop.ini；
6.打开网络共享；
7.去除exe文件末尾的感染标识、换回原图标；
8.恢复杀软的运行。