【二进制安全】熊猫烧香病毒分析

熊猫烧香这个病毒虽然过去很久了,但是这个病毒值得研究，在病毒出现的这个年代因为安全意识普遍不强，导致大范围被感染。本文带你跨进计算机病毒的大门

0x00工具

查壳：PEID、ExeInfo PE
动态分析：OllyDbg
静态反汇编分析：IDA Pro
行为监控：ProcessMonitor PCHunter 、火绒剑
资源查看：Resource Hacker
PE解析：Load PE
文本编辑:Hex WrokShop
环境：win7虚拟机

0x01查壳

我们用PEiD进行查壳，发现这个程序并没有加壳

0x02行为分析

使用Process Monitor来进行行为检测：

1. 查看进程树可知panda.exe在C:\Windows\System32\drivers\下释放了spcolsv.exe文件，并创建了子进程

2. spcolsv.exe 使用cmd命令 删除了系统磁盘的一些共享操作

3. 通过筛选Operation，也可以发现恶意软件在C:\Windows\System32\drivers\下释放了spcolsv.exe文件

4. 换对spcolsv.exe进行行为监控，发现其在注册表的自启动项设置了svcshare的自启动项，通过Data发现病毒会使感染的电脑开机就会自启动C:\Windows\System32\drivers\spcolsv.exe

5. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue这里的注册表操作使普通的设置也无法显示病毒出来

6. spcolsv.exe又把一些杀毒软件的自启动项进行删除。

7. spcolsv.exe在各个目录下创建Desktop_.ini配置文件.

0x03病毒运行效果

1.发现dll文件不会被感染，exe等其余文件图标变成了

2.打开任务管理器，会自动关闭。病毒进程会自动检查任务管理器，并对其进行查杀。

3.用PCHunter查看在C盘下创建的隐藏文件

4.在注册表中的添加了C:\Windows\System32\drivers\spcolsv.exe的自启动项

5.这些字符串可能是要使用到的API函数名(可以看出程序可能会进行网络通信，通过网络进行感染，枚举进程或线程，设置计时器等一系列操作)

0x04初步分析

1.下面字符串可能是 windows API 函数

2.Load PE查看每个DLL导入的API(通过了解的Windows API函数，我们大概可以猜出恶意程序会有什么行为。在后面的分析中，我们会详细分析，这里我们不做赘述)

0x05深入分析

用IDA静态载入、结合OllyDbg进行动态调试：

1.进入程序start函数后会看见程序对进行了三次对字符串进行申请内存和拷贝操作，分别将字符串地址拷贝到临时指针中(后续的大部分字符串操作，都是在临时指针中)。然后开始进行第一次字符串解密操作。将解密字符串与一个字符串进行比较。不一样跳出。

2.sub_403C98：函数内部我有进行内存申请以及字符串拷贝的操作

3.当解密完成时候，我们查看内存，发现解密后的字符串与比较明文相同：

4.病毒会检测杀毒软件和防火墙

5.这里进行了第二次解密，操作与第一相似。判断完解密结果后，我们会进入病毒三大功能函数，分别进行病毒初始化操作，病毒感染操作、病毒自我保护操作。

6.我们首先分析病毒初始化操作函数sub_408300 ：CreateAndRunPanda

病毒刚进入CreateAndRunPanda后会先判断当前运行程序所在路径下是否存在Desktop_.ini文件，如果存在就删除掉该文件。

7.本病毒会将自身拷贝到其他文件进行感染，被感染的文件会执行病毒代码，所以这里的代码部分是在区分是不是病毒母体程序正在运行，还是被感染过的文件，感染过的文件有感染标记位于读取文件信息的最后一个字节：

8.这里病毒的代码目的是，找到进程中运行的spcolsv.exe，并且终止，再将自身程序伪装到：系统目录+dirvers目录下，并更名为spcolsv.exe，用CMD启动伪装程序，然后在退出这个程序。如果是spcolsv.exe运行，会执行004084BC：jz loc_4085BA进行跳转。不会执行伪装操作。

6.loc_4085BA：检查到病毒文件已经在系统目录后，释放之前申请存放的病毒文件信息的内存，并获取标记信息。(004085CE)执行jmp loc_40889D。

7.loc_40889D：主要是进行标记的获取并进行检查，当标记位为1时，进入004085D3

8.loc_4085D3：主要功能是将被感染的文件进行分离，提取出原始文件信息。由于感染文件时预留了相关的标记信息，根据标记信息可以得到原始文件，感染后的文件可分为三部分：

1.病毒文件

2.原始程序

3.标记信息

9.下面这段代码目的是将被感染的文件进行分离，感染时添加的标记信息可以帮助提取出原始文件。执行过这段代码，程序所在目录会释放原始文件，进入loc_4086E0

10.loc_4086E0：这里的代码的目的维护病毒始终存在于系统指定目录中，并执行。可以判断我们只有对所有文件进行恢复之后，才能将病毒彻底kill掉。

11.接下来我们将分析病毒的感染过程功能函数sub_0040CFB4 : InfectOtherFile

在InfectOtherFile中我们又调用如下三个功能函数。

12.先对sub_40A7EC ：CreateInfectThread进行分析所建线程为：offset sub_40A6C8

13.回调函数的主要操作为获得驱动器盘符数，再对全部驱动盘进行全面感染(可感染的文件)，sub_4094A4是遍历一个驱动盘内所有可感染文件并进行感染的功能函数。

14.程序执行进入sub_4094A4：这段代码的目的就是遍历驱动器中的文件，排除不可感染的文件夹

15.当遍历到不是目录的时候，在0040955A处会跳转到loc_409B49处开始对文件进行感染处理

16.如果是可感染的文件夹，在感染之前，病毒还会在驱动器C盘下生成一份记录文件的test.txt文件被感染后，会修改目录中的desktop_.ini配置文件，并写入法感染文件。若文件已是被感染，则会在CODE:00409AF5 jnz short loc_409B49进行跳转。

17.loc_409DC3 : 这段代码的目的就是对文件进行检查，只要后缀名为“GHO”，就会判定其为ghost文件，直接删除，防止用户还原系统。

18.删除了系统的还原备份文件，病毒开始感染程序。由反汇编得知，感染文件的类型大概分为两种：exe、scr、pif、com和tm、html、asp、php、jsp、aspx等。分别用InfectFile和InfectWeb进行感染。

19.sub_40800C:InfectFile的感染过程就是首先将目标文件读取到内存中，并获得文件名及其大小；将自身文件复制到目标文件前，并追加目标程序原始数据，最后添加标记。InfectWeb只需要将字符串写入符合感染的尾部，就是用一个<iframe>标签打开www.krvkr.com/worm.htm的网页

20.感染完文件后，代码会执行到设置计时器函数，这里定时调用TimerFunc函数、在这个函数中，会生成自启动autorun.inf以及病毒复制体setup.exe。工作原理与之前分析相识，这里我们不在赘述。

21.InfectOtherFile中sub_40BD08会执行如下代码，目的是通过局域网对同一局域网的其他电脑进行感染。过程是在函数sub_40BCC8->sub_40BAA0创建TLS线程，判断有哪些局域网主机可以通过139和445端口连接。在将病毒文件拷贝到网络共享文件夹中。

22.病毒主流程第三个功能函数病毒函数自保护sub_40CED4 ：VirusProtectSelf

病毒自保护函数可以看到病毒设置了4个时钟函数。

23.第一个时钟回调函数：进入第一个时钟函数目的是定时将自己的路径添加入开机自启项中。而且定期设置不显示隐藏属性。CloseAntiSoftware中会事先关闭杀毒软件，防止杀毒软件检测到病毒行为。

24.CloseAntiSoftware->sub_4062C8

25.第二个时钟回调函数：第二个时钟定时会创建线程，线程用于从指定网址下载程序并运行。

26.第三个时钟回调函数：定时创建两个线程，第一个线程与第二个时钟的创建的线程执行内容相同。第二个线程主要删除了网络共享文件，并且设置用户文件隐藏共享。

27.第四个时钟回调函数：关闭指定杀软服务，删除注册表键值

到这里整个分析就结束了

下面是部分源代码

0x06结束语

熊猫烧香病毒其实没有那么强，只不过病毒封装方面强一些。不过在当时的年代还是反应出了国民的安全意识较弱，对计算机病毒不是那么的了解，还是应该增加自己的安全意识，保护自身的信息安全是非常重要!

END