1.样本概况
1.1应用程序信息
文件: C:\me\Panda\熊猫烧香.exe
大小: 30001 bytes
修改时间: 2007年1月17日, 12:18:40
MD5: 512301C535C88255C9A252FDF70B7A03
SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32: E334747C
1.2分析环境及工具
系统环境:win7 32位
工具:OllyDebug,IDA Pro,火绒剑,PCHunter32,PEiD,exeinfope
1.3分析目标
分析病毒传播途径,具体行为,查杀措施
2.具体分析过程
2.1行为分析
2.1.1使用PCHunter32查看可疑进程
2.1.2使用WSExplorer查看可疑流量
2.1.3使用火绒剑监控病毒运行
a.文件操作
有文件修改和创建的操作。
b.注册表,设置启动项
c.进程操作
敏感操作:遍历进程,打开设备,查找窗口。
d.网络操作
有外网和局域网连接的行为,并有进行网页访问。
e.其他操作
感染文件,改变图标,执行cmd命令删除共享文件
2.2详细分析
2.2.1壳
FSG压缩壳。
脱壳之后:编译器版本为Delphi 6.0-7.0
2.2.2病毒启动
a.删除病毒运行当前进程目录下的Desktop_.ini文件,并复制进程文件(病毒原件或是感染文件)
b.如果运行进程是病毒原件,且路径不是C:windows\system32\drivers\spo0lsv.exe,则复制病毒exe到该系统路径下并运行,再将原进程结束。
c.如果进程文件是被病毒感染的文件
①将感染文件中的原文件抠出来放入一个新建的文件中(后缀 =.(原后缀名).exe)
②在临时文件夹下面新建.bat文件,并运行,删除了被病毒感染了的文件,并运行未感染的exe。
2.2.3病毒感染
a.感染本地文件
①开线程,获取盘符
②遍历每个盘下文件并感染,系统文件不感染,在Desktop_.ini(不存在就创建)中写入最近程序感染日期
③根据文件后缀名不同,分别处理
GHO文件删除,setup.exe与NTDETECT.COM不做处理
④根据文件后缀名做处理,仅对未感染文件处理
1.后缀名为:exe,src,pif,com,在原文件前加上病毒代码,在原文件后加感染标志
2.后缀名为:htm,html,asp,jsp,php,aspx,在文件后加下面红色框框里面的代码
b. U盘、光驱感染
①把文件下的setup.exe(没有就建一个)掏空再把病毒自己复制进去,相当于病毒复制过去改了个名字。
②修改autorun.inf(没有就建一个),在里面加入自启动setup.exe的代码,当插入U盘或光盘就会自动启动病毒。
c.局域网传播
开了十个线程,尝试利用IPC$漏洞进行远程计算机资源共享,先尝试139端口,不行就再试455端口,如果能成功连接,病毒就会创建共享连接
2.2.4病毒自我保护
a.使用定时器,每隔1s创建线程,关闭杀毒软件,修改注册表启动项,隐藏文件
①提升管理员权限
②找杀毒软件桌面窗口,关掉
③遍历状态栏窗口,关闭特定杀毒软件,尤其对IceSword特别处理
④遍历进程,结束杀毒软件,任务管理器进程
b.开定时器,每二十分钟创建线程,访问网站,下载恶意代码并运行
c.开定时器,每10s创建两个线程,其中一个是b的线程,另一个删除默认共享文件和删除隐藏共享文件。
d.开定时器,每6s创建一个线程,关闭服务,删除服务,删除注册表启动项
e.开定时器,每10s创建一个进程,浏览5大知名网站,估计是赚流量费用或点击率的
网站:www.tom.com, www.163.com, www.souhu.com, www.yahoo.com, www.google.com
f.开定时器,每30分钟,创建线程,从下面网站下东西到系统目录下,并运行,我猜是下的病毒原件,但是我没有证据,因为网站没了,毕竟都是十几年前的东西了。
2.3总结
三个主函数所引出的所有分支构成了病毒的所有行为。
总结:
1.被感染文件图标变为黑白色,表现为一只熊猫举着三根香烟的模样。
2.运行病毒,将自我复制到系统目录下。
3.如果运行被感染文件,将拷贝出原文件,并用批处理删除感染文件,并运行原文件。
4.全盘感染文件,对exe,com,pif,src文件进行寄生,对html,asp,php,jsp,aspx等文件,在末尾添加恶意网站路径。
5.感染U盘、光盘,可通过U盘、光盘传播。
6.进行139,455端口攻击,开启远程计算机资源共享,局域网传播。
7.关闭所有杀毒软件和任务管理器窗口和进程,并将病毒自身加入启动项。
8.关闭或删除杀毒软件的服务,并删除启动项
9.从病毒网站下载或更新病毒。
10.浏览网站,赚点击率或流量。
3.解决方案
1.删除C:\Windows\System32\drivers\spo0lsv.exe文件。
2.删除病毒启动项Software\\Microsoft\\Windows\\CurrentVersion\\Run下的svcshare键
3.删除每个盘根目录下生成的autorun.inf和setup.exe文件。
4.写专杀工具。