1.樣本概況
1.1 樣本信息
病毒名稱:panda
所屬家族:Virus
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
病毒行爲:
複製自身、感染PE文件、覆寫PE文件、修改註冊表自啓動、枚舉進程、結束殺軟進程、刪除安全軟件相關啓動項
1、 自我複製樣本到C盤、C:/Windows/driver/目錄下
啓動C:/Windows/driver/spo0lsv.exe
2、 在每一個目錄下創建了Desktop_.ini,裏邊是當前日期
3、 在C盤根目錄下創建autorun.inf文件,裏面指定了自動啓動的文件爲根目錄下的setup.exe
4、 對程序目錄下的exe進行了感染,圖標變爲熊貓燒香,打開exe時,自動打開病毒
5、 設置註冊表啓動項爲C:/Windows/driver/spo0lsv.exe
6、 設置註冊表鍵值,隱藏文件不顯示
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值
7、 自己創建一個註冊表的項,在其中寫入了很多信息
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32
8、 修改註冊表的項IE瀏覽器的代理和連接設置
9、 枚舉進程、查找窗口、打開設備
10、 連接局域網的一些網址,訪問外面的一些網址
11、 使用cmd命令關閉網絡共享
1.2 測試環境及工具
Window7 火絨劍 15PBOD PEID IDA Pro Hash
1.3 分析目標
分析病毒惡意行爲及其邏輯
2.具體行爲分析
2.1 主要行爲
1.使用PEID查殼,發現是FSG2.0
單步跟蹤,找到跳轉到OEP的地址:00401D1
單步進入就是OEP,進行脫殼,脫殼後OEP如下:
2.使用IDA進行僞代碼靜態分析後發現,程序先初始化一些變量,然後解密並判斷2次標識,如下:
2個解密字符串
如果標識錯誤,則退出程序
3.由於代碼末尾有一個消息循環,猜測是等待代碼執行完畢,程序纔會退出,所以猜測如下函數爲惡意代碼:
釋放病毒進程:
刪除系統備份:
被感染二進制文件標記
4.使用OD動態跟蹤,發現sub_405250爲解密字符串
5.使用OD動態分析sub_40819C,發現函數主要功能複製自身到系統驅動目錄下,然後執行拷貝好的程序,關鍵代碼如下:
6.分析sub_40D18C函數,分析出函數的功能分別爲:
1、創建函數進行,遍歷目錄創建Desktop.ini
2、設置定時器,在C盤下創建setup.exe,autorun.inf
3、一個函數創建線程,進行網絡連接
7.具體分析Sub_40D18C中的sub_40A5B0函數
創建線程:
線程的回調函數中sub_409348爲操作遍歷目錄創建Desktop.ini文件的函數:
8. 使用OD具體分析Sub_40D18C中的sub_40C374函數
並且分析定時器的回調函數,行爲是在C盤下創建setup.exe和autorun.inf:
9. 使用OD具體分析Sub_40D18C中的sub_40BACC函數
創建了線程,並且在回調函數中進行了網絡連接
10.對函數sub_40D088進行分析
11.由於之前的行爲分析,行爲中有感染文件的動作,所以在CreateFileA下斷點,之後在回溯分析函數,遞歸創建文件的函數是sub_409348,使用OD動態調試後,得知sub_407F00是感染函數:
經過分析,感染的文件有EXE,SCR,PIF,COM
2.1.1 惡意程序對用戶造成的危害
批處理感染程序
2.2 惡意代碼分析
2.1 加固後的惡意代碼執行流程
惡意程序中帶有FSG2.0的殼,程序先執行殼的部分,然後執行程序部分
2.2 惡意程序的代碼分析片段
對sub_407F00惡意代碼進行詳細分析
得出結論:
1、 讀取原exe到內存
2、 複製病毒到感染路徑,覆蓋原exe
3、 在感染之後的exe上追加原exe
4、 在感染之後的exe上追加感染標識
3.解決方案
3.1 提取病毒的特徵,利用殺毒軟件查殺
特徵包括:
1、 帶有字符串“xboy” “whboy”
2、 帶有字符串“武漢男生感染下載者”
3、 帶有網絡連接,IP爲:111.206.239.19
203.188.200.67
4、 進程名稱“spo0lsv.exe”
5、註冊表項“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32”
3.2 手工查殺步驟
1.刪除C:/Windows/driver/spo0lsv.exe
2.刪除C盤根目錄下的setup.exe文件
3.刪除C盤根目錄下的autorun.inf文件
4.刪除註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32
5.刪除註冊表啓動項C:/Windows/driver/spo0lsv.exe
6.恢復註冊表項IE瀏覽器的代理和連接設置
7.對已經感染的程序(變爲熊貓燒香圖標)的程序進行刪除
8.結束進程spo0lsv.exe