前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【二进制安全】熊猫烧香病毒分析

【二进制安全】熊猫烧香病毒分析

作者头像
用户6343818
发布2020-06-09 12:07:10
3.1K1
发布2020-06-09 12:07:10
举报
文章被收录于专栏:安全小圈

熊猫烧香这个病毒虽然过去很久了,但是这个病毒值得研究,在病毒出现的这个年代因为安全意识普遍不强,导致大范围被感染。本文带你跨进计算机病毒的大门

0x00工具

代码语言:javascript
复制
查壳:PEID、ExeInfo PE
动态分析:OllyDbg
静态反汇编分析:IDA Pro
行为监控:ProcessMonitor PCHunter 、火绒剑
资源查看:Resource Hacker
PE解析:Load PE
文本编辑:Hex WrokShop
环境:win7虚拟机

0x01查壳

我们用PEiD进行查壳,发现这个程序并没有加壳

0x02行为分析

使用Process Monitor来进行行为检测:

1. 查看进程树可知panda.exe在C:\Windows\System32\drivers\下释放了spcolsv.exe文件,并创建了子进程

2. spcolsv.exe 使用cmd命令 删除了系统磁盘的一些共享操作

3. 通过筛选Operation,也可以发现恶意软件在C:\Windows\System32\drivers\下释放了spcolsv.exe文件

4. 换对spcolsv.exe进行行为监控,发现其在注册表的自启动项设置了svcshare的自启动项,通过Data发现病毒会使感染的电脑开机就会自启动C:\Windows\System32\drivers\spcolsv.exe

5. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue这里的注册表操作使普通的设置也无法显示病毒出来

6. spcolsv.exe又把一些杀毒软件的自启动项进行删除。

7. spcolsv.exe在各个目录下创建Desktop_.ini配置文件.

0x03病毒运行效果

1.发现dll文件不会被感染,exe等其余文件图标变成了

2.打开任务管理器,会自动关闭。病毒进程会自动检查任务管理器,并对其进行查杀。

3.用PCHunter查看在C盘下创建的隐藏文件

4.在注册表中的添加了C:\Windows\System32\drivers\spcolsv.exe的自启动项

5.这些字符串可能是要使用到的API函数名(可以看出程序可能会进行网络通信,通过网络进行感染,枚举进程或线程,设置计时器等一系列操作)

0x04初步分析

1.下面字符串可能是 windows API 函数

2.Load PE查看每个DLL导入的API(通过了解的Windows API函数,我们大概可以猜出恶意程序会有什么行为。在后面的分析中,我们会详细分析,这里我们不做赘述)

0x05深入分析

用IDA静态载入、结合OllyDbg进行动态调试:

1.进入程序start函数后会看见程序对进行了三次对字符串进行申请内存和拷贝操作,分别将字符串地址拷贝到临时指针中(后续的大部分字符串操作,都是在临时指针中)。然后开始进行第一次字符串解密操作。将解密字符串与一个字符串进行比较。不一样跳出。

2.sub_403C98:函数内部我有进行内存申请以及字符串拷贝的操作

3.当解密完成时候,我们查看内存,发现解密后的字符串与比较明文相同:

4.病毒会检测杀毒软件和防火墙

5.这里进行了第二次解密,操作与第一相似。判断完解密结果后,我们会进入病毒三大功能函数,分别进行病毒初始化操作,病毒感染操作、病毒自我保护操作。

6.我们首先分析病毒初始化操作函数sub_408300 :CreateAndRunPanda

病毒刚进入CreateAndRunPanda后会先判断当前运行程序所在路径下是否存在Desktop_.ini文件,如果存在就删除掉该文件。

7.本病毒会将自身拷贝到其他文件进行感染,被感染的文件会执行病毒代码,所以这里的代码部分是在区分是不是病毒母体程序正在运行,还是被感染过的文件,感染过的文件有感染标记位于读取文件信息的最后一个字节:

8.这里病毒的代码目的是,找到进程中运行的spcolsv.exe,并且终止,再将自身程序伪装到:系统目录+dirvers目录下,并更名为spcolsv.exe,用CMD启动伪装程序,然后在退出这个程序。如果是spcolsv.exe运行,会执行004084BC:jz loc_4085BA进行跳转。不会执行伪装操作。

6.loc_4085BA:检查到病毒文件已经在系统目录后,释放之前申请存放的病毒文件信息的内存,并获取标记信息。(004085CE)执行jmp loc_40889D。

7.loc_40889D:主要是进行标记的获取并进行检查,当标记位为1时,进入004085D3

8.loc_4085D3:主要功能是将被感染的文件进行分离,提取出原始文件信息。由于感染文件时预留了相关的标记信息,根据标记信息可以得到原始文件,感染后的文件可分为三部分:

1.病毒文件

2.原始程序

3.标记信息

9.下面这段代码目的是将被感染的文件进行分离,感染时添加的标记信息可以帮助提取出原始文件。执行过这段代码,程序所在目录会释放原始文件,进入loc_4086E0

10.loc_4086E0:这里的代码的目的维护病毒始终存在于系统指定目录中,并执行。可以判断我们只有对所有文件进行恢复之后,才能将病毒彻底kill掉。

11.接下来我们将分析病毒的感染过程功能函数sub_0040CFB4 : InfectOtherFile

在InfectOtherFile中我们又调用如下三个功能函数。

12.先对sub_40A7EC :CreateInfectThread进行分析所建线程为:offset sub_40A6C8

13.回调函数的主要操作为获得驱动器盘符数,再对全部驱动盘进行全面感染(可感染的文件),sub_4094A4是遍历一个驱动盘内所有可感染文件并进行感染的功能函数。

14.程序执行进入sub_4094A4:这段代码的目的就是遍历驱动器中的文件,排除不可感染的文件夹

15.当遍历到不是目录的时候,在0040955A处会跳转到loc_409B49处开始对文件进行感染处理

16.如果是可感染的文件夹,在感染之前,病毒还会在驱动器C盘下生成一份记录文件的test.txt文件被感染后,会修改目录中的desktop_.ini配置文件,并写入法感染文件。若文件已是被感染,则会在CODE:00409AF5 jnz short loc_409B49进行跳转。

17.loc_409DC3 : 这段代码的目的就是对文件进行检查,只要后缀名为“GHO”,就会判定其为ghost文件,直接删除,防止用户还原系统。

18.删除了系统的还原备份文件,病毒开始感染程序。由反汇编得知,感染文件的类型大概分为两种:exe、scr、pif、com和tm、html、asp、php、jsp、aspx等。分别用InfectFile和InfectWeb进行感染。

19.sub_40800C:InfectFile的感染过程就是首先将目标文件读取到内存中,并获得文件名及其大小;将自身文件复制到目标文件前,并追加目标程序原始数据,最后添加标记。InfectWeb只需要将字符串写入符合感染的尾部,就是用一个<iframe>标签打开www.krvkr.com/worm.htm的网页

20.感染完文件后,代码会执行到设置计时器函数,这里定时调用TimerFunc函数、在这个函数中,会生成自启动autorun.inf以及病毒复制体setup.exe。工作原理与之前分析相识,这里我们不在赘述。

21.InfectOtherFile中sub_40BD08会执行如下代码,目的是通过局域网对同一局域网的其他电脑进行感染。过程是在函数sub_40BCC8->sub_40BAA0创建TLS线程,判断有哪些局域网主机可以通过139和445端口连接。在将病毒文件拷贝到网络共享文件夹中。

22.病毒主流程第三个功能函数病毒函数自保护sub_40CED4 :VirusProtectSelf

病毒自保护函数可以看到病毒设置了4个时钟函数。

23.第一个时钟回调函数:进入第一个时钟函数目的是定时将自己的路径添加入开机自启项中。而且定期设置不显示隐藏属性。CloseAntiSoftware中会事先关闭杀毒软件,防止杀毒软件检测到病毒行为。

24.CloseAntiSoftware->sub_4062C8

25.第二个时钟回调函数:第二个时钟定时会创建线程,线程用于从指定网址下载程序并运行。

26.第三个时钟回调函数:定时创建两个线程,第一个线程与第二个时钟的创建的线程执行内容相同。第二个线程主要删除了网络共享文件,并且设置用户文件隐藏共享。

27.第四个时钟回调函数:关闭指定杀软服务,删除注册表键值

到这里整个分析就结束了

下面是部分源代码

0x06结束语

熊猫烧香病毒其实没有那么强,只不过病毒封装方面强一些。不过在当时的年代还是反应出了国民的安全意识较弱,对计算机病毒不是那么的了解,还是应该增加自己的安全意识,保护自身的信息安全是非常重要!

END

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-06-05,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 零度安全攻防实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 0x00工具
  • 0x01查壳
  • 0x02行为分析
  • 0x03病毒运行效果
  • 0x04初步分析
  • 0x05深入分析
  • 0x06结束语
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档