熊貓燒香病毒分析

1．樣本概況

1.1 樣本信息

病毒名稱：panda
所屬家族：Virus
MD5值：512301C535C88255C9A252FDF70B7A03
SHA1值：CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32：E334747C
病毒行爲：
  複製自身、感染PE文件、覆寫PE文件、修改註冊表自啓動、枚舉進程、結束殺軟進程、刪除安全軟件相關啓動項
    1、 自我複製樣本到C盤、C:/Windows/driver/目錄下
啓動C:/Windows/driver/spo0lsv.exe
    2、 在每一個目錄下創建了Desktop_.ini，裏邊是當前日期
    3、 在C盤根目錄下創建autorun.inf文件，裏面指定了自動啓動的文件爲根目錄下的setup.exe
    4、 對程序目錄下的exe進行了感染，圖標變爲熊貓燒香，打開exe時，自動打開病毒
    5、 設置註冊表啓動項爲C:/Windows/driver/spo0lsv.exe
    6、 設置註冊表鍵值，隱藏文件不顯示
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值
    7、 自己創建一個註冊表的項，在其中寫入了很多信息
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32
    8、 修改註冊表的項IE瀏覽器的代理和連接設置
    9、 枚舉進程、查找窗口、打開設備
    10、 連接局域網的一些網址，訪問外面的一些網址
    11、 使用cmd命令關閉網絡共享

1.2 測試環境及工具

  Window7 火絨劍 15PBOD PEID IDA Pro Hash

1.3 分析目標

  分析病毒惡意行爲及其邏輯

2．具體行爲分析

2.1 主要行爲

1.使用PEID查殼，發現是FSG2.0
  單步跟蹤，找到跳轉到OEP的地址：00401D1

單步進入就是OEP，進行脫殼，脫殼後OEP如下：

2.使用IDA進行僞代碼靜態分析後發現，程序先初始化一些變量，然後解密並判斷2次標識，如下：

2個解密字符串

如果標識錯誤，則退出程序
3.由於代碼末尾有一個消息循環，猜測是等待代碼執行完畢，程序纔會退出，所以猜測如下函數爲惡意代碼:

釋放病毒進程:

刪除系統備份:

被感染二進制文件標記

4.使用OD動態跟蹤,發現sub_405250爲解密字符串

5.使用OD動態分析sub_40819C,發現函數主要功能複製自身到系統驅動目錄下，然後執行拷貝好的程序，關鍵代碼如下：


6.分析sub_40D18C函數，分析出函數的功能分別爲：
  1、創建函數進行，遍歷目錄創建Desktop.ini
  2、設置定時器，在C盤下創建setup.exe,autorun.inf
  3、一個函數創建線程，進行網絡連接

7.具體分析Sub_40D18C中的sub_40A5B0函數
創建線程：

線程的回調函數中sub_409348爲操作遍歷目錄創建Desktop.ini文件的函數：

8. 使用OD具體分析Sub_40D18C中的sub_40C374函數

並且分析定時器的回調函數，行爲是在C盤下創建setup.exe和autorun.inf：
9. 使用OD具體分析Sub_40D18C中的sub_40BACC函數

創建了線程，並且在回調函數中進行了網絡連接

10.對函數sub_40D088進行分析

11.由於之前的行爲分析，行爲中有感染文件的動作，所以在CreateFileA下斷點，之後在回溯分析函數，遞歸創建文件的函數是sub_409348，使用OD動態調試後，得知sub_407F00是感染函數：

經過分析，感染的文件有EXE,SCR,PIF,COM

2.1.1 惡意程序對用戶造成的危害

批處理感染程序

2.2 惡意代碼分析

2.1 加固後的惡意代碼執行流程

惡意程序中帶有FSG2.0的殼，程序先執行殼的部分，然後執行程序部分

2.2 惡意程序的代碼分析片段

對sub_407F00惡意代碼進行詳細分析

得出結論：
  1、 讀取原exe到內存
  2、 複製病毒到感染路徑，覆蓋原exe
  3、 在感染之後的exe上追加原exe
  4、 在感染之後的exe上追加感染標識

3．解決方案

3.1 提取病毒的特徵，利用殺毒軟件查殺

特徵包括：
  1、 帶有字符串“xboy” “whboy”
  2、 帶有字符串“武漢男生感染下載者”
  3、 帶有網絡連接,IP爲：111.206.239.19
              203.188.200.67
  4、 進程名稱“spo0lsv.exe”
  5、註冊表項“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32”

3.2 手工查殺步驟

  1.刪除C:/Windows/driver/spo0lsv.exe
  2.刪除C盤根目錄下的setup.exe文件
  3.刪除C盤根目錄下的autorun.inf文件
  4.刪除註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32
  5.刪除註冊表啓動項C:/Windows/driver/spo0lsv.exe
  6.恢復註冊表項IE瀏覽器的代理和連接設置
  7.對已經感染的程序（變爲熊貓燒香圖標）的程序進行刪除
  8.結束進程spo0lsv.exe