学习笔记-spo0lsv病毒分析

最新推荐文章于 2022-05-01 08:45:47 发布
最新推荐文章于 2022-05-01 08:45:47 发布
阅读量490 收藏
点赞数
文章标签: 操作系统 php
原文链接:http://www.cnblogs.com/Schicksal/p/10559817.html
版权

1.样本概况

1.1 样本信息

病毒名称:spo0lsv.exe(熊猫烧香)

所属家族:Worm

MD5值:512301C535C88255C9A252FDF70B7A03

SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32:E334747C

文件大小:30001bytes

壳信息:FSG 2.0

病毒行为:复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项

1.2 测试环境及工具

Win7、PEID、火绒剑、x64dbg、OD、IDA、010Editor、PCHunter、Hash

1.3 分析目标

分析病毒的恶意行为,通过恶意代码梳理感染逻辑,编写查杀修复工具。

 

2.具体行为分析

2.1 主要行为

病毒的主要行为分三部分:
    第一部分(自我复制执行)

第二部分(感染部分)

第三部分(病毒自我保护)

2.1.1 恶意程序对用户造成的危害(图)

    1、病毒复制自身到:C:\Windows\System32\drivers\spo0lsv.exe并启动

2、每个目录下创建Desktop_.ini文件,并隐藏;

3、每盘符根目录创建autorn.inf、setup.exe文件并隐藏,setup.exe设置为自启动;

4、感染后缀位exe scr pif com文件和后缀为htm html asp php jsp aspx文件;

5、设置注册表键值得,svcshare项设置自启动;

6、连接局域网中其他计算机;

 

2.2 恶意代码分析

2.1 病毒OEP代码执行过程分析

 

2.2 病毒释放和运行分析

2.3 病毒感染分析

2.3.1 全盘感染

删除.GHO文件

感染后缀位.exe .scr .pif .com文件

感染后缀为htm html asp php jsp aspx文件

2.3.2 定时器感染

2.3.2 局域网感染

 

 

2.4 病毒自我保护分析

2.4.1 定时器1回调函数sub_40CEE4

设置病毒自启动,设置无法开启显示隐藏文件;

 

2.4.2 定时器2回调函数sub_40D040

 

2.4.3 定时器3回调函数sub_40D048

 

2.4.4 定时器4回调函数sub_407430

2.4.5 定时器5回调函数sub_40CC4C

 

2.4.6 定时器6回调函数sub_40C728

 

3.解决方案(或总结)

3.1 提取病毒的特征,利用杀毒软件查杀

网络ip:

字符串:WhBoy

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

1、关闭spo0lsv.exe进程,删除C:\Windows\System32\drivers\spcolsv.exe

2、删除HKEY\Software\Microsoft\Window\CurrentVersion\Run中自启动项svcshare

3、显示隐藏文件,设置HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Advanced\Folder\Hidden\SHOWALL中CheckedValue键值设置为1

4、删除每个盘符根目录中的autorun.inf和setup.exe及目录中的隐藏文件Desktop_.inii

 

转载于:https://www.cnblogs.com/Schicksal/p/10559817.html

a2a_66666
关注
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
病毒分析教程第一话--静态特征分析
安全杂货铺
06-21 4697
Lab 1 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 1-1 这个实验使用Lab01-01.exe和Lab01-01.dll文件,使用文章描述的工具和技术来获取关于这些文件的信息。 问题1 将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件...
病毒分析技术学习资料
洛丹伦
03-02 906
从以下地址下载最全面权威的吧。http://www.tml.hut.fi/Opinnot/T-110.6220/2008/T-110.6220_Windows_OS.pdf http://www.tml.hut.fi/Opinnot/T-110.6220/2008/Symbian_malware_and_spyware.pdf http://www.tml.hut.fi/Opinnot/T-1
病毒分析
a562449131的博客
08-30 2129
病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能 一丶认识木马和病毒的区别 木马和病毒是两个不一样的,有人会把木马认为是病毒,但其实不是 说下区别 木马:   木马没有破坏性,木马主要功能是收集用户信息,控制机器等等. 病毒:   病毒一般带有破坏性的行为,比如格式化盘符,修改电脑的文件,传染.... 二丶分析病毒的前提准备 1.分析病毒样本之前,首先要把...
【逆向学习笔记5】夏令营直播课0810病毒分析(第2天)
weixin_45927195的博客
08-11 453
逆向实战之病毒分析?壳分类PE文件格式壳的加载过程脱壳过程寻找OEPDump内存IAT修复反调试 ? 壳 分类 分类: 压缩壳在CTF竞赛中,UPX可能会出现得更多。 脱壳方法:使用脱壳机/手动脱壳 PE文件格式 参考书:《WindowsPE权威指南》 工具:Stud_PE,CFF_Explorer,010Eiditor 查壳工具 壳的加载过程 脱壳过程 寻找OEP E8+… >> jmp(短距离,如1字节) E9+… >> 远jmp(操作数有四字节) 前提:OE
计算机病毒分析与对抗学习--------(一)
Bannie Xiong的专栏
09-04 1080
哎,虽然是信息安全专业,但是对病毒啊,网络安全啊这些东西都不是很明白,一直也没有系统的学习一下。现在快找工作了,不学就不行了,于是乎,拿起了我敬爱的老师写的书,开啃!!要学习病毒知识,基本的系统的知识可少不了,所以先把Windows 的基本的系统知识回顾一下:1 硬盘 容量计算:磁头数*拄面数*扇面数 INT 13H 调用:BIOS提供的磁盘基本输入输出中断调用,可以完成硬盘的复位
heart-rate-spo2-master.zip
01-10
标题中的"heart-rate-spo2-master.zip"是一个与生理参数监测相关的项目,主要关注心率和血氧饱和度(SpO2)的测量。这个项目是利用MAX30102传感器模块,并基于Arduino集成开发环境(IDE)进行实现。在智能硬件领域,...
百度-SPO提取1
08-04
关键词提取是信息检索、文本挖掘和自然语言处理中的一个重要环节,它旨在识别出文本中最具代表性和重要性的词汇,以便快速概括文本主题或用于后续的分析和处理。这里,我们将探讨几种常见的关键词提取方法,并结合...
Sivak-Max30102-SPO2-OLED-Measure:阅读MAX30102传感器和用于SPO2和心跳的更好算法
03-17
Sivak-Max30102-SPO2-OLED-测量 二手的ESP32,MAX30102传感器和OLED。 库:U8g2lib.h MAX30102.h algorithm_by_RF.h BLE2902.h BLEDevice.h BLEServer.h BLEUUID.h BLEUtils.h 参见 带有原始资源的GITHUB: : ...
超微 X12SPO-F主板用户手册
最新发布
03-25
### 超微 X12SPO-F 主板用户手册知识点概述 #### 一、超微 X12SPO-F 主板简介 超微 X12SPO-F 是一款高性能服务器主板,专为满足现代数据中心及企业级应用的需求而设计。它支持最新的处理器技术,并配备了丰富的I/O...
熊猫烧香病毒分析报告
CMC_HHM的博客
07-27 9838
1.样本概况 1.1 样本信息 (1)病毒名称:spo0lsv.exe (2)所属家族:熊猫烧香 (3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D (4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923 (5)CRC32:E63D45D3 (6)病毒行为: 复制自身到系统目录下 设置文件属性为隐藏,并且让...
彩虹猫源代码
热门推荐
wyx12346的博客
05-01 1万+
@echo off echo UEsDBBQAAAAIAHV36kiQ6IfZcyEAAAA6AAAIAAAATUVNWi5leGXtew10U8e17kg6soUtjACbGGzi>x echo AxgMyD9Hlm1sY4JkW2AH/wjLP5BgB9k6RhKSjqIfbKcJyBgaqw65tM1NIJckNE1705Tcpi3JJWma>>x echo OD830Da0TptFSQOpXx7NFSnhmYRbnIRw3jfnyMZpfmCt99b7WauzvM+c2TOz95
熊猫烧香分析报告
qq_43572067的博客
11-01 3739
熊猫烧香分析报告样本信息测试环境及工具主要行为恶意程序对用户造成的危害加固后的恶意代码提取病毒的特征,利用杀毒软件查杀手工查杀步骤或是工具查杀步骤或是查杀思路等C++查杀工具部分源码 样本信息 病毒名称:512301C535C88255C9A252FDF70B7A03 所属家族:蠕虫 MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF31...
熊猫烧香病毒分析
datouyu0824的博客
03-20 4430
1.样本概况 1.1 样本信息 病毒名称:熊猫烧香 所属家族:Fujack MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32:E334747C 病毒行为概述: - 文件操作行为: 0. 自我复制到C盘,C:\Windows\System32\driver目录下,结束自身并启动C:\Windows\system32\drivers\spo0lsv.exe .
非常规的手段删除无法删除文件
weixin_30248399的博客
01-31 2110
非常规的手段删除无法删除文件 在Windows系统中,我们难免会遇到用常规方法无法删除文件的情况。尤其是使用Windows XP系统的用户,遭遇此类问题的频率更高。为了解除用户的困惑,我们将尝试通过各种非常规的手段有效地删除那些顽固文件。一、删除顽固文件的常规方法1.重新启动Windows操作系统后,再按常规方式删除文件。2.在DOS(或命令提...
超微X12SPO-F主板用户手册:全面指南
"超微 X12SPO-F主板用户手册" 超微(Supermicro)的X12SPO-F主板是一款高性能的服务器主板,专为数据中心和企业级应用设计。用户手册(Revision1.1c)旨在提供准确的信息,但制造商不保证文档中绝对无误,也不承诺...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值