1.样本概况
1.1 样本信息
病毒名称:panda
所属家族:Virus
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
病毒行为:
复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项
1、 自我复制样本到C盘、C:/Windows/driver/目录下
启动C:/Windows/driver/spo0lsv.exe
2、 在每一个目录下创建了Desktop_.ini,里边是当前日期
3、 在C盘根目录下创建autorun.inf文件,里面指定了自动启动的文件为根目录下的setup.exe
4、 对程序目录下的exe进行了感染,图标变为熊猫烧香,打开exe时,自动打开病毒
5、 设置注册表启动项为C:/Windows/driver/spo0lsv.exe
6、 设置注册表键值,隐藏文件不显示
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值
7、 自己创建一个注册表的项,在其中写入了很多信息
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32
8、 修改注册表的项IE浏览器的代理和连接设置
9、 枚举进程、查找窗口、打开设备
10、 连接局域网的一些网址,访问外面的一些网址
11、 使用cmd命令关闭网络共享
1.2 测试环境及工具
Window7 火绒剑 15PBOD PEID IDA Pro Hash
1.3 分析目标
分析病毒恶意行为及其逻辑