熊猫烧香病毒分析

最新推荐文章于 2024-03-05 11:25:55 发布
最新推荐文章于 2024-03-05 11:25:55 发布
阅读量2.5k 收藏 16
点赞数 4
分类专栏: 病毒 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41421812/article/details/126975883
版权

熊猫烧香病毒分析

“熊猫烧香”,是由李俊制作并肆虐网络的一款电脑病毒,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户的系统备份文件丢失)。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。2006年10月16日由25岁的湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的文件传染。

样本:链接:百度网盘 请输入提取码
提取码:4he3

 

火绒剑监控

文件修改操作

可以看到修改了大量的desktop.ini文件,desktop.ini是文件夹配置文件;
另外也修改了C:\setup.exe 和 autorun.inf文件,将自身的安装程序setup.exe写入到C盘根目录下, autorun.inf文件是一个放置在驱动器根目录下的文本形式的配置文件,用于设置让磁盘自动运行程序。

 

 

注册表的增删改查

删除注册表项:病毒企图删除一些杀毒软件的自启动注册表项值,以及网络设置的一些相关的注册表项值;

 

设置注册表项:设置病毒的一些相关注册表项,以及设置并隐藏病毒的自启动注册表;


更改网络设置的一些相关的注册表项值

 

 

逆向分析病毒

查看PE文件

 

具体函数调用以及参数传递

OD打开后停在入口点,主函数主要是通过调用几个函数调用实现病毒的功能,主函数的结构大概可以猜测前面两个ExitProcess()是对某些条件的判断,满足条件则继续,不满足则退出进程。GetMessage()从调用线程的消息队列中检索消息。该函数调度传入的已发送消息,直到发布的消息可供检索。可以推测,病毒主要功能是在两个函数之间实现的,也就是00408024,00040CA5C,0040C97C三个函数。

 

初始化函数分析

004049E8

首先F7单步步入第一个函数004049E8,可以看到主要是一个获取模块句柄的作用。

 

 

00403C98

接下来是两个00403C98函数在调用函数前传递了两个参数到eax,edx寄存器里,在数据窗口跟进去,可以看到eax指向内存为0,edx指向“***武*汉*男* 生*??染*下***载*者***”字符串,接下来单步步入查看这个函数的功能。

可以看到内部又调用了三个函数,第三个跳过了,所以着重分析前两个功能,继续单步步入。

 

 

00403D08

逐层单步步入:

call 00403D08;

call 00402520;

call dword ptr [40D030];

可以看到调用了LocalAlloc()函数,分配内存空间。

 

00402650

首先看一下传递的参数,此时eax指向“***武*汉*男* 生*??染*下***载*者***”字符串,ecx是20,edx指向的地址为空。单步步过观察参数变化,edx指向的地址变成上面的字符串,可以推测此调用函数是进行了字符串的复制。

 

此时可以看出00403C98的功能主要是分配内存空间,复制字符串。

共调用了两次,第一次字符串是“***武*汉*男* 生*??染*下***载*者***”;第二次是下图数据窗口所示。

 

00436360

参数传递:eax指向内容为图中数据窗口的字符串,edx是"xboy"。

 

明白传递的参数后,单步步入函数内部,可以看到有一个循环,分析后知道这个循环是依次提取”xboy“的字符除以特定的除数后的商,与参数传递时传入的乱码字符串进行异或,最终生成一个字符串。总的来说,是将传递的两个参数进行解码生成字符串。

 

00404018

参数传递:传入的是原本的“***武*汉*男* 生*??染*下***载*者***”字符串,以及上面解码生成的字符串。结合函数内部的循环,可以推测出是对这两个字符串进行对比,看是否一致。这种解码后进行对比检查的操作分别对不同的字符串进行了两遍。这一部分也是病毒文件的自我保护。

 

 

病毒主要行为分析

接下来这三个函数就是病毒的主要行为

00408024

主要功能是将病毒复制到指定路径下,并将其运行起来。

 

0040277C

IDA查看函数内部,可以看到GetModuleFileName(),函数,用来获取当前进程已加载模块文件的完整路径

(包括路径和文件名)。OD跟进,查看PathBuffer处数据,可以看到执行GetModuleFileName()后变成了当前进程已加载模块文件的完整路径。

 

 

00405684

在步入函数前,查看参数传递情况,eax指向上一个函数获取的完整路径,edx指向一个全为0的地址,可以猜测是对完整路径进行操作。跟进函数后,内部有一个粗线条表示循环,分析后是对完整路径从后向前检索,直到遇到"\","/",":"符号检索停止循环。接下来调用的函数执行后,会生成一个新的字符串,也就是去除文件名称后的病毒路径。

 

 

 

00403ED4

函数开始前传递的参数是两个字符串,一个是不带文件名称的病毒路径,一个是Desktop_ini文件名,可以推测是对这两个字符串进行操作。单步步过后观察到生成了一个将上述两个字符串拼接到一起的字符串,可以看出此函数功能是拼接字符串。

 

004057A4

传递的参数是拼接后的字符串:路径+Desktop_.ini。单步步入后继续进入call 0040573C,可以看到调用了FindFirstFile()函数,也就是查找Desktop_.ini文件是否存在。

 

 

004078E0

步入函数能看到调用了非常多的函数,因此主要关注参数的传递以及变化。函数执行完毕后,数据窗口可以看到很多无意义的字符,类似于密码字典之类的信息,推测是采用密码字典进行暴力破解。

 

 

00403C44

函数调用前参数传递,eax为0。函数内部只将ZF标志位置1操作。此函数的功能就是设置标志。

 

 

00403ECC

首先观察参数调用,"MZP"字符串文件开头标志。单步步入查看,delphi的特点是字符串之前的四位是长度,也就是说eax-4存储的是"MZP"文件的长度。

 

 

0040532C

参数传递:eax指向当前路径,edx指向内存为0。单步步入后,首先获取当前路径字符串的长度,单个字符依次循环转为大写。

 

 

004054BC

GetSystemDirectoryA(),检索系统目录的路径。

 

 

00403F8C

可以看到传递了两个字符串和一个空地址,内部没有明显的API调用,此时观察函数执行之后参数的变化,函数执行后eax寄存器指向的地址所保存的内容发生了变化,可以看出是对上述传入的两个字符串进行了拼接。

 

00404018

比较两个字符串是否相同,也就是病毒目前是否在指定目录下运行。目前不是在上述病毒的指定目录运行,所以接下来看一下不在指定目录是病毒的操作。

 

004060D4

参数是"spoclsv.exe",函数内部有循环且调用CloseHandle(),可以推测该函数是在查找是否有”spoclsv.exe“进程在运行,如果有,关闭该进程。

 

 

CopyFileA()

将病毒文件改名后复制到指定路径下。

 

WinExec()

最后就是WinExec(),执行spoclsv.exe。结束当前进程。

 

在判断是否是病毒指定的路径下,如果是,才会进行接下来的操作。这里有两种方式分析接下来的程序,一种是找到刚才复制到指定路径下的spoclsv.exe病毒文件,另一种就是在判断路径时更改标志位,让程序跳转到对应位置。这里采用的是第二种。

 

当文件路径是在指定的系统目录下时,就会执行代码,释放之前申请存放病毒文件信息的内存,并获取标记信息。然后对标志信息符合的被感染成进行进一步检查,将被感染的文件进行分离,提取出原始信息。由于感染文件时预留了相关的标记信息,根据这些信息可得到原始文件。

 

0040CA5C

主函数中第二个重要函数,可以看到调用了三个函数

 

0040A2A4

创建线程,线程回调函数就是病毒感染的主要实现。跟进去分析,主要行为是遍历驱动器盘符的数目,并进入到驱动器中,遍历所有可感染文件以进行病毒复制,

 

 

 

004091DC

首先遍历了驱动器下的文件信息,并将文件与文件夹进行了分类。检查如果是文件夹,就判断是否为特殊文件夹,对不是特殊文件夹的文件夹执行破坏性操作。

 

 

 

 

首先将目标文件读取到内存中,并获取文件名及其大小,然后将自身文件复制到目标文件前,bing

追加目标程序的原始文件,最后加入标记。

感染web类型的文件只需在符合感染要求的文件尾部写入特定的字符串即可。

0040C054

创建Autorun.inf文件并进行感染

 

 

0040B7AC

建立网络连接,通过网络感染

 

 

0040C97C

最后则是病毒的自我保护

 

不想起名呀
关注
  • 4
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
熊猫烧香C语言源代码,熊猫烧香病毒源代码 1.0 完整版 (图文)
weixin_28885791的博客
05-22 1万+
“熊猫烧香”是一种可经过多次变种的蠕虫病毒变种形态,新云软件园提供熊猫烧香病毒源代码下载,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。源码分析大体的看了下,主要是通过拷贝...
熊猫烧香病毒分析报告
OpenSesame的博客
04-01 2111
第一次写博客,这个病毒挺经典的,拿来上手。 一、基础静态分析 先查壳,可以发现没加壳,程序是用delphi编写的 再看看导入函数,猜测这个病毒大概会做什么。 首先主要就是读写文件、读写注册表这些基本操作,还有FindFirstFileA、FindNextFileA说明会遍历电脑中的文件,CopyFile很可能会复制自己到某个目录然后再以另一个名称运行。 AdjustTokenPrivilege...
网络安全实验四 熊猫烧香病毒剖析
qq_64314976的博客
06-22 1246
打开wsyscheck的进程管理,可以看见系统打开了哪些进程,可以看见spcolsv.exe正在运行,定位它的位置,可以发现,“熊猫烧香”已经将自身复制到了系统目录C:\WINDOWS\system32\drivers\spcolsv.exe下,如下图所示。,运行该程序,“熊猫烧香”病毒感染系统中的.exe、.com、.pif、.src、.html、.asp等文件,我们可以安装熊猫烧香文件夹中的HA_Filemon软件,然后通过它对“熊猫烧香“样本运行情况进行跟踪。
熊猫烧香病毒原理解析(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
03-05 1760
0x0分析目标详细分析病毒的行为和目的,编写出专杀工具以及修复工具。
计算机熊猫烧香病毒分析
05-09
计算机病毒是一些特殊的程序,它们能破坏计算机内、外存储器中的程序与数据,使计算机不能正常运行。这类程序还能自动修改磁盘里...如果不是地震引发海底光缆故障,那只颔首敬香的“熊猫”,还将“迁徙”到更远的地方。
熊猫烧香分析报告.pdf
05-06
小白学分析,找了一个比较经典和简单的病毒进行学习,将报告...“熊猫烧香”虽然是一个很老的病毒,并且里面的手段也比较简单,但是对于初学者像我这样的小白来说,还是挺适合练手的,毕竟也是一个名气很大的传统病毒。
工程伦理案例分析-“熊猫烧香”案例分析
01-18
【工程伦理案例分析——“熊猫烧香”】 “熊猫烧香”事件是中国互联网历史上的一次重大安全事件,它揭示了软件开发伦理的重要性。这个案例涉及到的伦理问题主要包括:技术滥用、责任承担、信息安全和道德责任。 1....
云守护版熊猫烧香病毒专杀工具演示
01-11
1. 病毒库构建:首先,开发者需要收集和分析熊猫烧香病毒及其变种的特征,创建病毒库。 2. 扫描引擎设计:开发扫描引擎,通过比较文件特征与病毒库,检测是否存在病毒感染。 3. 文件修复机制:一旦发现病毒,工具需...
“武汉男生”(熊猫烧香)病毒专杀工具 V3.6
02-01
病毒名称:Worm.WhBoy.h 病毒中文名:熊猫烧香(武汉男生),近日又化身为“金猪报喜” 病毒类型:蠕虫 危险级别:★★★★★ 影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 专杀工具:金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具 病毒描述: “武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 1:拷贝文件 病毒运行后,会把自己拷贝到C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe 2:添加注册表自启动 病毒会添加自启动项HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe 3:病毒行为 a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序: QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword 并使用的键盘映射的方法关闭安全软件IceSword 添加注册表使自己自启动 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe 并中止系统中以下的进程: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 d:每隔6秒删除安全软件在注册表中的键值 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL CheckedValue -> 0x00 删除以下服务: navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc e:感染文件 病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件: WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone g:删除文件 病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。 工具更新: 2007-01-12  1.增加病毒变种特征。 2.增加对htm,html,asp,aspx,php等文件的查杀。 3:修正对病毒清除的流程。
熊猫烧香案件的分析鉴定
05-09
计算机取证,熊猫烧香病毒的相关东东哦,看了还不错,分享一下啊
[病毒分析]熊猫烧香(上)初始分析
热门推荐
网络安全知识分享
03-03 1万+
熊猫烧香病毒分析(第一篇)一、病毒初始化二、PEID加壳检查三、IDA和OD的分析(1)使用IDA载入病毒样本(2)定位到0x0040CB7E位置(3)sub_403C98函数分析(4)打开IDA进入sub_403C98函数(5)sub_405360函数分析(6)sub_404018函数分析(7)loc_40CBBC功能分析四、总结 熊猫烧香样本下载 提取码:8189 一、病毒初始化 1、工具准备 IDA、OD、PEID 2、基本流程: 利用查壳工具检查病毒是否带壳 利用OD动态分析病毒 利用IDA
长文预警-超详细的熊猫烧香病毒分析_01
hskull的博客
02-02 1049
书接上文,接下来就是使用IAT、OD进行病毒汇编代码的详细分析: 上文链接:[长文预警-超详细的熊猫烧香病毒分析_01] 2.IAT-OD双剑合璧 为了更好的分析,可以先使用IAT的签名工具来更好的识别库代码 在IDA中Shift+F5打开签名窗口,ins快捷键打开签名库,Ctrl+F找到Delphi的特征库,然后加载。 我们使用IDA和OD联合分析的手段对病毒样本进行分析: ...
熊猫烧香病毒分析报告
CMC_HHM的博客
07-27 9682
1.样本概况 1.1 样本信息 (1)病毒名称:spo0lsv.exe (2)所属家族:熊猫烧香 (3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D (4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923 (5)CRC32:E63D45D3 (6)病毒行为: 复制自身到系统目录下 设置文件属性为隐藏,并且让...
1 熊猫烧香病毒分析
weixin_30265171的博客
06-06 999
1. 样本概况 熊猫烧香,会自动感染系统中的EXE文件,修改文件图标不能再次打开。典型的FSG2.0加密文件,使用的Borland Delphi 6.0 - 7.0进行编写 1.1 样本信息 病毒名称:哈希值 所属家族:Virus MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFE...
长文预警-超详细的熊猫烧香病毒分析_00
hskull的博客
02-02 1118
背景介绍 恶意代码主要的几种类型: Virus(感染型病毒,侵入程序中) Worm(蠕虫病毒,传播性) Trojan(木马,远程控制,盗取账号信息等) Ransomware(勒索软件,加密文档,勒索比特币等) API(高级持续性攻击木马,窃取机密信息等) 恶意代码案例概述 熊猫烧香是一款具有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,不但能感染系统中的exe,com,pif,s...
python熊猫烧香
最新发布
06-05
Python熊猫烧香是一个指代使用pandas库进行数据处理的术语。pandas是Python中非常流行的用于数据分析和处理的库,它提供了许多用于快速读取、处理和分析数据的工具和函数。Pandas是一个强大的数据处理库,可以处理各种数据类型,如CSV、Excel、SQL等。 熊猫烧香是指使用pandas库进行数据处理时,你需要将它导入并使用它提供的函数和方法。与其他Python库一样,你可以通过pip或conda来安装pandas库。在使用之前,你需要先导入它。例如:`import pandas as pd`。这意味着你可以使用pd来代替pandas。接下来你就可以使用Pandas库中的函数和方法来读取和处理数据了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值