熊猫烧香简单分析

最新推荐文章于 2023-03-10 21:19:51 发布
最新推荐文章于 2023-03-10 21:19:51 发布
阅读量1.4k 收藏 9
点赞数 4
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44001905/article/details/98962320
版权

1样本概况

1.1 样本信息

病毒名称:熊猫烧香

所属家族:WHBoy

MD5值:512301C535C88255C9A252FDF70B7A03

SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32:E334747C

病毒行为:

病毒会感染可执行文件(exe等文件),网页文件等,能自动运行并访问指定的网址,使 程序图标变成熊猫烧香的图案。

1.2 测试环境及工具

2.1.1 测试环境

Windows 7 32位操作系统

2.1.2 测试工具

查壳工具:PEID

监测工具:火绒剑、PCHunter

调试工具:OD、IDApro

1.3 分析目标

病毒主要行为

病毒传播原理

查杀方法

2.具体行为分析

2.1 主要行为

在打开样本文件前先将火绒剑和PCHunter打开,将样本文件拖入火绒剑中,如图2-1:

图2-1 加载病毒

在PCHunter中观察进程,发现可疑进程,如图2-2:

图2-2 可疑进程

找到进程所在文件并关闭进程,查看启动信息一项,如图2-3可以知道这个文件是病毒 的自身拷贝并且设置为了启动项。

图2-3 病毒设置启动项

提取文件样本并删除病毒的启动项

继续观察,如图2-4在网络一项可以看到同时这个文件进行了一些网络连接操作

图2-4 病毒的网络连接

接下来查看火绒剑中的监控信息,过滤获取的信息,选择动作中的文件监控,由于熊猫 烧香病毒写入修改文件的操作,所以先勾选文件被修改和写入文件还有创建文件三项动作,如图2-5和图2-6 所示

图2-5 设置动作过滤信息

图2-6 病毒创建的文件

观察过滤的动作,可以发现病毒感染了exe可执行文件,ini配置文件,html网页文件。

并且在每个被感染的目录下都生成了Desktop_.ini文件。而后查看网络,可以发现, 有大量访问网站和公网IP的信息,还有一些局域网的连接,如图2-7

图2-7 判断网络连接

2.1.1 恶意程序对用户造成的危害

图2-8 对用户危害

病毒感染了exe可执行文件,ini配置文件,html网页文件

2.1.2 恶意程序行为分析总结

(1) 病毒自我复制样本到C盘C:\Windows\System32\drivers\spo0lsv.exe并启动

(2) 每个被感染的目录下都生成了Desktop_.ini文件

(3) 在C盘根目录下创建了autorun.inf文件,内容为自启动setup.exe

(4) 感染exe可执行文件,ini配置文件,html网页文件

(5) 设置注册表C:\Windows\System32\drivers\spo0lsv.exe为启动项

(6) 在注册表中设置键值隐藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\Hidden\SHOWALL\CheckedValue

  1. 创建了两个注册表,在里面写了一些信息
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\spo0lsv_RASAPI32
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\spo0lsv_RASMANCS
  1. 联网操作,包括局域网和外网的连接
  2. 枚举进程,查找窗口

 

2.2 恶意代码分析

2.2.1 熊猫烧香脱壳

通过PEID查看,病毒有加壳,为FSG压缩壳

图2-9 查看壳

想要静态分析,首先要把壳去掉,把熊猫烧香病毒拖入OD,很明显的FSG壳的特征, 定位关键代码,找到jmp dword ptr ds:[ebx + 0xC],将断点下到这个位置,运行并 单步到OEP,如图2-10

图2-10 病毒OEP

查看病毒的IAT表,IAT表中的导入函数之间存在7FFFFFFF填充,将充填设置为0,dump 文件,用ImportREC修复IAT,脱壳完成。

2.2.2 恶意程序的代码分析片段

将程序载入IDAPro中,使用F5快捷键,查看伪C代码,如图2-11

图2-11 OEP处伪C代码

sub_40819C函数分析,主要代码如图2-12

图2-12 sub_40819C函数主要代码

sub_40D18C函数分析:

在这个函数中含有三个函数,第一个函数创建线程,遍历目录创建Desktop_.ini文件; 第二个函数设置定时器,在C盘下创建setup.exe,autorun.inf;第三个函数创建线程, 网络连接,如图2-13。

图2-12 sub_40D18C函数内部

sub_40D088函数分析:

这个函数在IDA中看一共调用了6个定时器:

sub_40CEE4,时钟周期1000ms添加启动项、修改注册表,如图2-1

如图2-13 定时器1

sub_40D040,时钟周期1200000ms,‬通过网址下载更新病毒

如图2-14 通过网址下载病毒

sub_40D048,时钟周期10000ms,下载恶意代码、执行cmd命令,关闭网络共享, 如图2-15

图2-15 关闭网络共享

sub_407430,时钟周期6000ms,使杀毒软件启动项失效,关闭杀毒软件服务,如图2-16

图2-16 关闭杀毒保护自身

sub_40CC4C,时钟周期10000ms,访问网站下载源码

sub_40C728,时钟周期180000ms,通过http:\\update.whboy.net/worm.txt地址 来更新

图2-17 下载更新

至此,分析结束。

Iam0x17
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
熊猫烧香病毒分析
zlmm741的博客
06-11 2800
文章目录样本概况样本信息测试环境及工具分析目标具体行为分析初步分析病毒文件查看病毒主要行为详细分析病毒文件解决方案提取病毒特征手工查杀病毒编写查杀工具总结 样本概况 样本信息 病毒名称:spo0lsv.exe 样本大小:98816 bytes 所属家族:感染性病毒 (Virus)、蠕虫病毒 (Worm) MD5 值:3CE8412544B47D544357C5BE42FBE704 SHA1 值:23FC53530BAACCFC4E83E3A74ADB219958B8E665 CRC32:AFA1B975
病毒分析熊猫烧香
Hades的博客
05-22 8471
病毒分析熊猫烧香1.样本概况1.1样本信息病毒名称:熊猫烧香所属家族:WhboyMD5值:512301C535C88255C9A252FDF70B7A03SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870CRC32:E334747C文件: C:\spo0lsv.vir大小: 30001 bytes壳: PSG v2.0编程语言:Delphi病毒行为:病毒...
熊猫烧香病毒分析报告
WeekPawn的博客
03-10 1158
熊猫烧香病毒分析
经典病毒:熊猫烧香函数全分析
m0_52164435的博客
04-17 758
熊猫烧香病毒分析
菜鸟之路---1,熊猫烧香病毒的简单分析
u012871930的博客
02-27 3770
病毒的网盘链接:https://pan.baidu.com/s/1dtMjiI 密码:l1ii(谨慎下载,免得感染了你的电脑)1.样本概况1.1 样本信息文件: spo0lsv.exe(熊猫烧香)大小: 30001 字节修改时间: 2007年1月17日, 12:18:40MD5:512301C535C88255C9A252FDF70B7A03SHA1: CA3A1070CFF311C0BA40AB...
[安全攻防进阶篇] 八.那些年的熊猫烧香及PE病毒行为机理分析
杨秀璋的专栏
08-13 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!技术路上哪有享乐,加油~
熊猫烧香C语言源代码,熊猫烧香病毒源代码 1.0 完整版 (图文)
weixin_28885791的博客
05-22 1万+
熊猫烧香”是一种可经过多次变种的蠕虫病毒变种形态,新云软件园提供熊猫烧香病毒源代码下载,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。源码分析大体的看了下,主要是通过拷贝...
【病毒分析】——熊猫烧香 && 专杀工具C源码
VI___
11-28 4852
最近忙里偷闲,将自己分析过的一些病毒记录一下,一是给刚入门的小白有个借鉴,二是不让自己写博客的习惯停下来。 一、基本信息 FileName panda.exe Type 感染型病毒 Size 30001 bytes MD5 512...
恶意代码分析——熊猫烧香
草草君
02-24 625
恶意代码分析——熊猫烧香 记录对一些恶意代码的分析 标题恶意代码分析——熊猫烧香静态分析IDA分析 静态分析 查壳——FSG 2.0 脱壳 1)   OllyDump找到OEP: 2)   OllyDump进行二进制Dump 3)   ImportRCE进行导入表修复,并且将新的导入OD中Dump下的二进制文件中 4)   重新查壳:Delphi 编写(该在调用函数时,利用寄存器进行函数参数传递)但是导入表中却只识别出一个dll 5)   按照上述的方式脱壳后,会发现在调试程序时会报
熊猫烧香分析报告.pdf
05-06
小白学分析,找了一个比较经典和简单的病毒进行学习,将报告...“熊猫烧香”虽然是一个很老的病毒,并且里面的手段也比较简单,但是对于初学者像我这样的小白来说,还是挺适合练手的,毕竟也是一个名气很大的传统病毒。
挂马网站分析追溯技术与实践
12-10
书中详细分析了两个著名的案件——“证券大盗”和“熊猫烧香”。前者通过网络钓鱼和网页木马,成功窃取了股民的股票账户,非法获利;后者则利用病毒编写、网站挂马和信封窃取等一系列操作,形成了一个完整的网络虚拟...
网络安全培训视频教程-55.上传漏洞形成原因分析.rar
07-09
2007年的互联网状况可以说是不容乐观,自从轰动一时的“熊猫烧香”、“金猪”病毒、到臭名远洋的“灰鸽子”木马、还有最近的“ANI”漏洞真是让人很头疼!而且病毒不仅仅是造成互联网高危状态的主要因素,网络上同时...
网络安全培训视频教程-18.日志分析及如何清除.rar
07-09
2007年的互联网状况可以说是不容乐观,自从轰动一时的“熊猫烧香”、“金猪”病毒、到臭名远洋的“灰鸽子”木马、还有最近的“ANI”漏洞真是让人很头疼!而且病毒不仅仅是造成互联网高危状态的主要因素,网络上同时...
自己写的带有菜单的WinMain函数
08-20
通过分析和学习这个代码,我们可以更深入地理解如何在实际项目中应用这些概念。 总之,"带有菜单的WinMain函数"是一个典型的WIN32应用程序示例,它演示了如何利用Windows API创建一个用户界面,并通过菜单与用户...
Synares感染型简单分析
热门推荐
信息安全
10-24 2万+
文章目录前言样本简单分析 前言 Synares是去年出现的感染型病毒,当时为了弄清病毒的感染逻辑,也大致分析了一下这个病毒,最近整理文档,又发现了之前写的简短的分析报告 样本简单分析 当运行非C:\ProgramData\Synaptics\Synaptics.exe目录的病毒文件,首先查找自己的资源是否存在,(资源名EXERESX是被感染的前的源文件,如果存在EXERESX资源说明这是一个已经被感染的文件),存在后释放到当前目录并隐藏,创建进程执行释放的源文件。 样本会判断互斥体避免多开,获取一些资源
bat脚本编码加密的简单解密方法
信息安全
09-26 5513
分析病毒时,总会遇见各种各样的类型的样本,bat脚本病毒也非常常见,bat属于脚本语言,用文本查看器查看源码会一目了然,有很多人不希望让别人看到自己的源码,也就有了一些算是加密的方式 本次我要分享的就是利用字符集编码产生的加密方式的解密方法 拿到一个bat脚本,用notepad++打开发现都是乱码 挦獬਍敀档景൦䌊尺楗摮睯屳祓瑳浥㈳坜湩潤獷潐敷卲敨汬癜⸱尰潰敷獲敨汬攮數ⴠ硅捥瑵潩偮汯捩⁹祢慰獳...
Morto蠕虫病毒分析报告
信息安全
10-31 4422
文章目录样本信息病毒现场复现分析过程Loader部分Payload部分病毒查杀 样本信息 名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705aeb2caedb 病毒现场复现 因为得到的样本没有病毒母体,所以只能手动复现病毒现场,手动复现病毒现场需要两个文件,一个是伪装成txt的病毒dll文件,另一个是写入注册表的payload 首先将md.reg...
一个恶意样本的分析
信息安全
08-09 4200
1.1样本信息1.样本概况 病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...
python熊猫烧香
最新发布
06-05
Python熊猫烧香是一个指代使用pandas库进行数据处理的术语。pandas是Python中非常流行的用于数据分析和处理的库,它提供了许多用于快速读取、处理和分析数据的工具和函数。Pandas是一个强大的数据处理库,可以处理各种数据类型,如CSV、Excel、SQL等。 熊猫烧香是指使用pandas库进行数据处理时,你需要将它导入并使用它提供的函数和方法。与其他Python库一样,你可以通过pip或conda来安装pandas库。在使用之前,你需要先导入它。例如:`import pandas as pd`。这意味着你可以使用pd来代替pandas。接下来你就可以使用Pandas库中的函数和方法来读取和处理数据了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值