熊猫烧香病毒分析

最新推荐文章于 2024-04-08 16:29:48 发布
最新推荐文章于 2024-04-08 16:29:48 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 病毒分析 文章标签: 熊猫烧香
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/useror/article/details/90300175
版权

1.样本概况

1.1 样本信息

病毒名称:panda
所属家族:Virus
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
病毒行为:
  复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项
    1、 自我复制样本到C盘、C:/Windows/driver/目录下
启动C:/Windows/driver/spo0lsv.exe
    2、 在每一个目录下创建了Desktop_.ini,里边是当前日期
    3、 在C盘根目录下创建autorun.inf文件,里面指定了自动启动的文件为根目录下的setup.exe
    4、 对程序目录下的exe进行了感染,图标变为熊猫烧香,打开exe时,自动打开病毒
    5、 设置注册表启动项为C:/Windows/driver/spo0lsv.exe
    6、 设置注册表键值,隐藏文件不显示
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值
    7、 自己创建一个注册表的项,在其中写入了很多信息
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo0lsv_RASAPI32
    8、 修改注册表的项IE浏览器的代理和连接设置
    9、 枚举进程、查找窗口、打开设备
    10、 连接局域网的一些网址,访问外面的一些网址
    11、 使用cmd命令关闭网络共享

1.2 测试环境及工具

  Window7 火绒剑 15PBOD PEID IDA Pro Hash

1.3 分析目标

  分析病毒恶意行为及其逻辑

2.具体行为分析

2.1 主要行为

1.使用PEID查壳,发现是FSG2.0
  单步跟踪,找到跳转到OEP的地址:00401D1
在这里插入图片描述
单步进入就是OEP,进行

最低0.47元/天 解锁文章
useror
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
熊猫烧香病毒实验
u014089681的专栏
07-16 8642
试验环境:Oracle VM VirtualBox虚拟机下Windows7 32位系统。 一、实验步骤 1.备份虚拟机 2.断开网络驱动器 3.打开PowerTool监视进程 4.运行熊猫烧香病毒   二、具体实验操作步骤及中毒表现 刚一运行熊猫烧香病毒windows便立刻出现如下提示: 打开任务管理器发现一个svo0lsv.exe进程。 更改文件夹选项,显示所有文件夹
[病毒分析]熊猫烧香
r250414958的博客
11-01 1360
熊猫烧香病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标2.具体行为分析2.1 主要行为2.1.1 恶意程序对用户造成的危害2.2 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。参考文献 1.样本概况 1.1 样本信息 1.病毒名称:panda.exe 2.文件大小:30001 bytes 3.MD...
面试必备资料,“熊猫烧香”病毒的原,看完老板就给加薪了
最新发布
2401_84003839的博客
04-08 958
为了方便有学习需要的朋友,我把资料都整理成了视频教程(实际上比预期多花了不少精力)当程序员容易,当一个优秀的程序员是需要不断学习的,从初级程序员到高级程序员,从初级架构师到资深架构师,或者走向管理,从技术经理到技术总监,每个阶段都需要掌握不同的能力。早早确定自己的职业方向,才能在工作和能力提升中甩开同龄人。无论你现在水平怎么样一定要 持续学习 没有鸡汤,别人看起来的毫不费力,其实费了很大力,这四个字就是我的建议!!我希望每一个努力生活的IT工程师,都会得到自己想要的,因为我们很辛苦,我们应得的。
熊猫烧香病毒感染过程的分析(如何替换图标,感染exe等)
weixin_30340775的博客
04-22 659
1 在每个目录下生成的Desktop_.ini,并设置隐藏属性,里面记录了病毒文件的感染日期 2 exe文件的感染过程 转载于:https://www.cnblogs.com/wingss/p/5423142.html
熊猫烧香病毒简析
winerdaxian的专栏
09-15 1197
熊猫烧香从2007年1月肆虐网络到现在。已经过了查不多4个年头了。病毒的作者李俊现在也从监狱里被放了出来。在当时熊猫烧香确实给大家一个意外,它采用了一种新的方式对计算机的程序和系统造成了很严重的破坏。   其实我的这篇文章也不叫什么分析,只是说简单的简析。我只是简单的对病毒的机
计算机熊猫烧香病毒分析
05-09
计算机病毒是一些特殊的程序,它们能破坏计算机内、外存储器中的程序与数据,使计算机不能正常运行。这类程序还能自动修改磁盘里...如果不是地震引发海底光缆故障,那只颔首敬香的“熊猫”,还将“迁徙”到更远的地方。
熊猫烧香分析报告.pdf
05-06
小白学分析,找了一个比较经典和简单的病毒进行学习,将报告...“熊猫烧香”虽然是一个很老的病毒,并且里面的手段也比较简单,但是对于初学者像我这样的小白来说,还是挺适合练手的,毕竟也是一个名气很大的传统病毒。
工程伦理案例分析-“熊猫烧香”案例分析
01-18
【工程伦理案例分析——“熊猫烧香”】 “熊猫烧香”事件是中国互联网历史上的一次重大安全事件,它揭示了软件开发伦理的重要性。这个案例涉及到的伦理问题主要包括:技术滥用、责任承担、信息安全和道德责任。 1....
云守护版熊猫烧香病毒专杀工具演示
01-11
1. 病毒库构建:首先,开发者需要收集和分析熊猫烧香病毒及其变种的特征,创建病毒库。 2. 扫描引擎设计:开发扫描引擎,通过比较文件特征与病毒库,检测是否存在病毒感染。 3. 文件修复机制:一旦发现病毒,工具需...
熊猫烧香案件的分析鉴定
05-09
计算机取证,熊猫烧香病毒的相关东东哦,看了还不错,分享一下啊
“武汉男生”(熊猫烧香)病毒专杀工具 V3.6
02-01
病毒名称:Worm.WhBoy.h 病毒中文名:熊猫烧香(武汉男生),近日又化身为“金猪报喜” 病毒类型:蠕虫 危险级别:★★★★★ 影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 专杀工具:金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具 病毒描述: “武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 1:拷贝文件 病毒运行后,会把自己拷贝到C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe 2:添加注册表自启动 病毒会添加自启动项HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe 3:病毒行为 a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序: QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword 并使用的键盘映射的方法关闭安全软件IceSword 添加注册表使自己自启动 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe 并中止系统中以下的进程: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 d:每隔6秒删除安全软件在注册表中的键值 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL CheckedValue -> 0x00 删除以下服务: navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc e:感染文件 病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件: WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone g:删除文件 病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。 工具更新: 2007-01-12  1.增加病毒变种特征。 2.增加对htm,html,asp,aspx,php等文件的查杀。 3:修正对病毒清除的流程。
1 熊猫烧香病毒分析
weixin_30265171的博客
06-06 998
1. 样本概况 熊猫烧香,会自动感染系统中的EXE文件,修改文件图标不能再次打开。典型的FSG2.0加密文件,使用的Borland Delphi 6.0 - 7.0进行编写 1.1 样本信息 病毒名称:哈希值 所属家族:Virus MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFE...
熊猫烧香”有新变种 可自动下载病毒
02-03 2711
上海计算机病毒防范服务中心2日紧急预警,在互联网上肆虐一个多月的“熊猫烧香”病毒又出现一个名为“熊猫烧香释放器”的新型变种。病毒防范部门提醒用户小心提防。 据了解,这一变种不同于以往的各种变种形式,而是增加了自我下载“熊猫烧香”病毒的功能,是一种升级版变种。这种病毒运行后,在被感染的计算机上释放“熊猫烧香”蠕虫病毒,利用Windows系统的自动播放功能来运行。     
Cool_gamesetup.exe山寨版熊猫烧香病毒
weixin_34281477的博客
11-12 4541
一、病毒信息 病毒名:win32.bmw.j.75783 病毒体大小:74.0 KB (75,783 字节) 病毒类型:熊猫烧香变种 二、病毒行为 这是一个熊猫烧香的变种,伪装成毒霸的图标来迷惑用户,它还会下载其他病毒并执行。 1.病毒会删除安全软件的开机启动项目和服务项目。 2.每1秒添加自己的启动项,并将文件隐藏显示注册表键值破坏。 3.每隔6...
熊猫烧香C语言源代码,熊猫烧香病毒源代码 1.0 完整版 (图文)
热门推荐
weixin_28885791的博客
05-22 1万+
熊猫烧香”是一种可经过多次变种的蠕虫病毒变种形态,新云软件园提供熊猫烧香病毒源代码下载,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。源码分析大体的看了下,主要是通过拷贝...
病毒分析熊猫烧香
Hades的博客
05-22 8452
病毒分析熊猫烧香1.样本概况1.1样本信息病毒名称:熊猫烧香所属家族:WhboyMD5值:512301C535C88255C9A252FDF70B7A03SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870CRC32:E334747C文件: C:\spo0lsv.vir大小: 30001 bytes壳: PSG v2.0编程语言:Delphi病毒行为:病毒...
熊猫烧香病毒(jusodl.exe severe.exe conime.exe)及其变种病毒专杀
weixin_34392435的博客
12-29 1020
jusodl.exe OSo.exe severe.exe conime.exe 熊猫烧香最新变种 熊猫烧香新变种的病毒特征如下: 1、系统时间总是固定到某年某月某天 如2004年1月22日 2、不能更改 显示隐藏所有文件和文件夹 选项无法显示隐藏的系统文件 3、双击硬盘速度明显变慢 或者弹出选择打开方式 4、打不开杀毒软件 5、打不开任务管理器 6、安...
[病毒分析]熊猫烧香(上)初始分析
网络安全知识分享
03-03 1万+
熊猫烧香病毒分析(第一篇)一、病毒初始化二、PEID加壳检查三、IDA和OD的分析(1)使用IDA载入病毒样本(2)定位到0x0040CB7E位置(3)sub_403C98函数分析(4)打开IDA进入sub_403C98函数(5)sub_405360函数分析(6)sub_404018函数分析(7)loc_40CBBC功能分析四、总结 熊猫烧香样本下载 提取码:8189 一、病毒初始化 1、工具准备 IDA、OD、PEID 2、基本流程: 利用查壳工具检查病毒是否带壳 利用OD动态分析病毒 利用IDA
计算机病毒ppt课件.pptx
11-24
2007年的"熊猫烧香"病毒是一个著名的案例,它是一个蠕虫病毒,能够终止反病毒软件进程,删除系统备份文件,导致用户无法恢复操作系统,并将受感染的.exe文件图标替换为熊猫烧香图案,严重影响用户的计算机功能。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值