[病毒分析]熊猫烧香

最新推荐文章于 2020-08-13 14:26:50 发布
最新推荐文章于 2020-08-13 14:26:50 发布
阅读量1.3k 收藏 4
点赞数 2
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r250414958/article/details/83615130
版权

熊猫烧香病毒分析报告

1.样本概况

1.1 样本信息

1.病毒名称:panda.exe
2.文件大小:30001 bytes
3.MD5值:512301C535C88255C9A252FDF70B7A03
4.SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
5.CRC32:E334747C
病毒行为:
复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项

1.2 测试环境及工具

火绒剑、OD、IDA、MD5工具、Win7 Malware Defender

1.3 分析目标

恶意行为分析,病毒特征,并查杀

2.具体行为分析

2.1 主要行为

如果分析有错误,谢谢大家帮我指正
在这里插入图片描述

2.1.1 恶意程序对用户造成的危害

PE文件无法正常启动 系统资源被占用.

2.2 恶意代码分析

在这里插入图片描述
病毒第一次执行
在这里插入图片描述
进程动作
在这里插入图片描述
删除隐藏共享功能
在这里插入图片描述
火绒剑监测到的感染文件行为
在这里插入图片描述
网络通讯行为
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
PE文件感染代码分析
在这里插入图片描述
病毒会将EXE和其它想要感染的文件读进内存,在内存中把自身写入到源文件的头部,并在末尾追加了文件简略信息的字符串,类似感染标识
感染的文件有exe、scr、pif、com html
被感染文件对比:
在这里插入图片描述

在这里插入图片描述
上图是源文件头部和尾部
下图是感染后的文件头尾
在这里插入图片描述
在这里插入图片描述
尾部被加上了一些简略信息
HTML字符串解密
在这里插入图片描述
HTML感染前后对比
感染前
在这里插入图片描述
感染后
在这里插入图片描述
线程时钟感染和自我保护
在这里插入图片描述
1.添加启动项,修改注册表,添加特权,遍历杀软,结束任务管理器
在这里插入图片描述
从网站读取到网页源代码并且运行代码(目前已经失效…)
在这里插入图片描述
3.CMD命令删除共享服务
在这里插入图片描述
4.删除杀软注册表项 关闭防火墙服务
在这里插入图片描述
TCP端口建立与感染
在这里插入图片描述
病毒会对链接端口进行弱口令匹配 若成功则发动攻击
在这里插入图片描述

3.解决方案

3.1 提取病毒的特征,利用杀毒软件查杀

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

1、删除病毒文件C:\WINDOWS\system32\drivers\spo0lsv.exe并且遍历文件查找到母体并删除;
删除目录下INI文件 ,根据偏移恢复被感染文件格式.
清除病毒启动项
设置HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL 为1
恢复防火墙服务

参考文献

[1] 斯科尔斯基 哈尼克. 恶意代码分析实战. 电子工业出版社. 2014.
[2] 戚利. Windows PE权威指南. 机械工业出版社. 2011.
[2] 任晓珲 黑客免杀攻防 . 机械工业出版社. 2013.

QQQqQqqqqrrrr
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
熊猫烧香分析报告.pdf
05-06
小白学分析,找了一个比较经典和简单的病毒进行学习,将报告分享出来。 “熊猫烧香”虽然是一个很老的病毒,并且里面的手段也比较简单,但是对于初学者像我这样的小白来说,还是挺适合练手的,毕竟也是一个名气很大的传统病毒
熊猫烧香简单分析
是叶子终要回归大地,是爱情总会沉入海底。
02-09 2116
       还记的哪个酣态可鞠的熊猫,他让我们哭笑不的,网络上对这个病毒分析、对作者猜测的文章多如牛毛,通过和他打交道,我感觉这个病毒的破坏性并不大,并且病毒本身也不具有什么先进的技术,关键是他的传播能力,他几乎采用了所有的病毒传播方式,一时间天下大乱,无人不知“熊猫烧香”    许多前辈通过DB发现病毒代码中有“whboy”字样,于是有了“武汉男生”这个名字,俗称“熊猫烧香”,这是一个感染型
熊猫烧香病毒分析报告
CMC_HHM的博客
07-27 9624
1.样本概况 1.1 样本信息 (1)病毒名称:spo0lsv.exe (2)所属家族:熊猫烧香 (3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D (4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923 (5)CRC32:E63D45D3 (6)病毒行为: 复制自身到系统目录下 设置文件属性为隐藏,并且让...
计算机熊猫烧香病毒分析
05-09
计算机病毒是一些特殊的程序,它们能破坏计算机内、外存储器中的程序与数据,使计算机不能正常运行。这类程序还能自动修改磁盘里...如果不是地震引发海底光缆故障,那只颔首敬香的“熊猫”,还将“迁徙”到更远的地方。
熊猫烧香案件的分析鉴定
05-09
计算机取证,熊猫烧香病毒的相关东东哦,看了还不错,分享一下啊
Virus-Analysis:记录一下自己的病毒分析成果
05-08
(md格式和pdf格式) 如果下载md格式必须和assert文件夹一起下载(markdown格式可下载Typora查看)idb文件思维导图总结其他相关文件目前已经收录以下几个案例WannaCry病毒分析熊猫烧香病毒分析病毒研究和实例系列(非...
20秋学期(1909、2003、2009-)《计算机病毒分析》在线作业.docx
05-23
A:震网病毒 B:WannaCry C:灰鸽子 D:熊猫烧香 答案:C WinINet API实现了()层的协议。 A:网络层 B:数据链路层 C:应用层 D:传输层 答案:C 单步调试是通过( )实现的 A:每条代码之前添加软件断点 20秋学期(1909、...
分析熊猫烧香
40KO的博客
03-21 622
0x00 前言 总之就是分析了下这个病毒吧,毕竟当年还是影响很大的,分析起来也算友好,也算是熟悉熟悉病毒分析过程。 0x01 行为分析 仅从PE文件上获得的信息看不出什么名堂来,因为它是Delphi写的,有许多乱七八糟的字符串,导入表也很多,看起来啥功能都有。 所以还是得用监视器来看看它的运行情况(Win7运行后还真中毒了。。。) 过滤一下文件操作可以看到它多次操作了C:...
熊猫烧香分析
Stronger_99的博客
05-26 3370
在这里主要分析一下熊猫烧香病毒的初始化部分。 病毒文件可以在看雪里下载。 先对熊猫烧香病毒进行一下手动查杀,由于电脑里的软件在查杀病毒时有滞后性,所以学习手动查杀还是很有必要的。 我们先来排查可疑进程。 先把样本放到虚拟机里面,查看任务管理器发现进程数是26 然后运行病毒样本发现任务管理器消失了,再打开也是一闪而过,那么也就说明这个病毒文件已经对电脑产生了影响。 我们可以利用tas...
“Nimaya(熊猫烧香)”病毒分析报告
hijack-x's Blog
04-10 6298
熊猫烧香”采用Delphi编写  该病毒的主要行为:一.传播   1.本地磁盘感染病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染注:不感染文件大小超过10485760字节以上的.(病毒将不感染如下目录的文件):Microsoft FrontpageMovie MakerMSN Gamin ZoneCommon FilesWi
[安全攻防进阶篇] 八.那些年的熊猫烧香及PE病毒行为机理分析
热门推荐
杨秀璋的专栏
08-13 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!技术路上哪有享乐,加油~
熊猫烧香病毒分析
weixin_44953050的博客
02-18 551
熊猫烧香病毒分析 样本名:spo0lsv.exe 时间:2019.11.30 平台:win7x86 一:样本概况 1.1样本信息 病毒名称:spo0lsv.exe 所属家族:Worm .Fujack-25 MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32::E3347...
熊猫烧香病毒分析报告
OpenSesame的博客
04-01 2040
第一次写博客,这个病毒挺经典的,拿来上手。 一、基础静态分析 先查壳,可以发现没加壳,程序是用delphi编写的 再看看导入函数,猜测这个病毒大概会做什么。 首先主要就是读写文件、读写注册表这些基本操作,还有FindFirstFileA、FindNextFileA说明会遍历电脑中的文件,CopyFile很可能会复制自己到某个目录然后再以另一个名称运行。 AdjustTokenPrivilege...
1 熊猫烧香病毒分析
weixin_30265171的博客
06-06 987
1. 样本概况 熊猫烧香,会自动感染系统中的EXE文件,修改文件图标不能再次打开。典型的FSG2.0加密文件,使用的Borland Delphi 6.0 - 7.0进行编写 1.1 样本信息 病毒名称:哈希值 所属家族:Virus MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFE...
熊猫烧香病毒样本下载
最新发布
02-04
很抱歉,我不能提供关于病毒样本下载的信息。熊猫烧香病毒是一种恶意软件,它会对计算机系统造成损害和安全风险。下载、传播或使用病毒样本是违法行为,并且会对网络安全造成严重威胁。如果您遇到了计算机安全问题,建议您联系专业的网络安全机构或技术人员寻求帮助。 如果您有其他关于计算机安全、网络防护等方面的问题,我会很乐意为您解答。请告诉我您还有其他什么问题,我会尽力帮助您。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值