学习笔记-spo0lsv病毒分析

1．样本概况

1.1 样本信息

病毒名称：spo0lsv.exe（熊猫烧香）

所属家族：Worm

MD5值：512301C535C88255C9A252FDF70B7A03

SHA1值：CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32：E334747C

文件大小：30001bytes

壳信息：FSG 2.0

病毒行为：复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项

1.2 测试环境及工具

Win7、PEID、火绒剑、x64dbg、OD、IDA、010Editor、PCHunter、Hash

1.3 分析目标

分析病毒的恶意行为,通过恶意代码梳理感染逻辑，编写查杀修复工具。

 

2．具体行为分析

2.1 主要行为

病毒的主要行为分三部分：
    第一部分（自我复制执行）

第二部分（感染部分）

第三部分（病毒自我保护）

2.1.1 恶意程序对用户造成的危害(图)

    1、病毒复制自身到：C:\Windows\System32\drivers\spo0lsv.exe并启动

2、每个目录下创建Desktop_.ini文件，并隐藏；

3、每盘符根目录创建autorn.inf、setup.exe文件并隐藏,setup.exe设置为自启动；

4、感染后缀位exe scr pif com文件和后缀为htm html asp php jsp aspx文件；

5、设置注册表键值得，svcshare项设置自启动；

6、连接局域网中其他计算机；

 

2.2 恶意代码分析

2.1 病毒OEP代码执行过程分析

 

2.2 病毒释放和运行分析

2.3 病毒感染分析

2.3.1 全盘感染

删除.GHO文件

感染后缀位.exe .scr .pif .com文件

感染后缀为htm html asp php jsp aspx文件

2.3.2 定时器感染

2.3.2 局域网感染

 

 

2.4 病毒自我保护分析

2.4.1 定时器1回调函数sub_40CEE4

设置病毒自启动，设置无法开启显示隐藏文件；

 

2.4.2 定时器2回调函数sub_40D040

 

2.4.3 定时器3回调函数sub_40D048

 

2.4.4 定时器4回调函数sub_407430

2.4.5 定时器5回调函数sub_40CC4C

 

2.4.6 定时器6回调函数sub_40C728

 

3．解决方案(或总结)

3.1 提取病毒的特征，利用杀毒软件查杀

网络ip：

字符串：WhBoy

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

1、关闭spo0lsv.exe进程，删除C:\Windows\System32\drivers\spcolsv.exe

2、删除HKEY\Software\Microsoft\Window\CurrentVersion\Run中自启动项svcshare

3、显示隐藏文件，设置HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Advanced\Folder\Hidden\SHOWALL中CheckedValue键值设置为1

4、删除每个盘符根目录中的autorun.inf和setup.exe及目录中的隐藏文件Desktop_.inii