熊貓燒香分析報告
分析報告
|
樣本名 |
熊貓燒香 |
|
版本 |
原版 |
|
時間 |
2018-03-18 |
|
平臺 |
Windows 7-32位 |
信息安全研究(病毒分析報告)
目錄
1.樣本概況... 2
1.1 樣本信息... 2
1.2 測試環境及工具... 3
1.3 分析目標... 3
1.4 提取樣本... 3
1.4.1查殼... 3
1.4.2 具體提取步驟... 3
1.4.3 提取樣本... 4
2.具體行為分析... 5
2.1 主要行為... 5
2.2 分析情況總結:... 10
2.3 詳細分析... 11
3.解決方案... 25
3.1 手工查殺步驟或是工具查殺步驟或是查殺思路等。... 25
1.樣本概況
1.1 樣本信息
病毒名稱: 熊貓燒香
所屬家族: 感染性病毒(Virus) /蠕蟲病毒(Worm)
大小: 30001 bytes
MD5值: 512301C535C88255C9A252FDF70B7A03
SHA1值: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32: E334747C
病毒行為: 復制自身、感染PE文件、覆寫PE文件、修改註冊表自啟動、枚舉進程、結束殺軟進程、刪除安全軟件相關啟動項
1.2 測試環境及工具
Win7 32位、OD/IDA/x64DBG/火絨劍/ExeiofoPE/
1.3 分析目標
分析病毒永久駐留方式,感染的方式,網絡連接,病毒的惡意行為
1.4 提取樣本
1.4.1查殼
Exeinfo 可查是該程序是FSG殼,FSG是壓縮殼,稍後對它進行手動脫殼
1.4.2 具體提取步驟
使用APK工具(PC-Hunter)查看可疑進程
查看啟動項(註冊表,計劃任務等)
查看驅動模塊,服務未發現可疑項
查看一下其他的雜項,網絡連接等
使用抓包工具(WSExplorer)查看可疑流量
1.4.3 提取樣本
從上面啟動項可以看到,病毒自我復制了一個文件到C:\Windows\System32\drivers目錄下
將它提取出來,重命名後綴為vir,以供下一步具體分析。
2.具體行為分析
這個環節的目標是分析樣本的行為,盡可能全面發現惡意行為
方法概述:
獲取樣本後,使用監控工具(火絨劍)監控樣本的運行。
分析監控到的日誌,主要觀察的點有:
1, 文件操作,主要看文件創建、修改、刪除等操作
2, 註冊表操作,主要看註冊表設置、創建等操作
3, 進程操作,主要看創建進程,寫入內存等操作
4, 網絡操作,主要看網絡連接地址,IP等信息
5, 其他行為,以及自己觀察樣本虛擬機內運行後的反應
2.1 主要行為
分析監控到的日誌
1. 文件操作,主要看文件創建,修改,刪除等操作,設置監控的行為(動作),只查看文件操作的關鍵行為:
將樣本vir文件直接拖進火絨劍內:
可以發現樣本創建了一些文件,觀察文件,有一些文件與樣本大小一致,猜測是復制的樣本,感染了很多exe文件
2. 註冊表過濾,主要看註冊表設置,創建等:
3. 進程操作,主要看創建進程,寫入內存操作,對監控工具進行過濾:
查看過濾後的結果:
4. 網絡操作,主要看網絡鏈接地址,IP等信息,首先對監控工具進行過濾設置:
5. 其他行為,人肉看樣本運行後的反應,其他行為,人肉看樣本運行後的反應
查看結果,發現樣本擦混改建了許多Desktop_ini文件,感染了許多exe,而且exe 的圖標已經變成了熊貓燒香
設置監控工具,只查看執行監控,可以發現cmd進程的創建:
2.2 分析情況總結:
分析監控的日誌以及人肉之後,可以分析出樣本的惡意行為:
- 自我復制樣本到C盤:C:\Windows\System32目錄下,
啟動C:\Windows\System32\drivers\spo01.exe(即樣本)
- 在每一個目錄下創建了一個Dosktop_.ini,裏面是當前日期
- 在C盤根目錄下創建了autorun.inf文件,裏面指定了自動啟動的文件為根目錄下的setup.exe(即樣本)
- 對程序目錄下的exe進行了感染,圖標變為熊貓燒香,打開exe時,自動打開病毒
- 設置註冊表啟動項為:C:/Windows/driver/spo01sv.exe
- 設置註冊表鍵值,隱藏文件不顯示
- 自己創建了一個註冊表的項,在其中寫入了很多信息
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo01sv_RASAPI32 - 枚舉進程,查找窗口,打開設備
- 連接局域網的一些地址,訪問外面的一些網址
10. 使用cmd命令關閉了網絡共享
2.3 詳細分析
通過以上分析可以知道惡意代碼的一些惡意行為,想要獲取更加詳細的行為需要使用IDA或是OD分析樣本
詳細分析過程:
上面用Exeinfo查看到此程序是FSG2.0的壓縮殼,以下進行手動脫殼:
單步運行到0x00401D1,此處jmp 的就是OEP,F7單步步入,在此處dump程序,然後修復IAT即可。
脫過殼後的程序使用Peid深度掃描可以識別出程序是使用delphi編譯的:
導入簽名後,采用OD/Ida,動靜結合的方法分析惡意代碼;
先使用IDA的F5快捷鍵查看下偽c代碼,先對此程序有一個大約的框架。
根據偽C代碼,可以發現OEP函數一開始全是初始化變量,調用的第一個函數sub_405250,參數中有字符串“xboy”,而另一次調用中,參數有字符串“whboy”,在調用sub_405250函數後,有LStrCmp字符串比較函數的調用,之後就是判斷返回值的代碼,可以猜測函數sub_405250應該是解密字符串函數。
剩下的三個sub_xxx開頭的函數應該是惡意代碼函數,在這個代碼的末尾有一個消息循環,猜測是等待惡意代碼執行完畢後,函數才退出(稍後再OD中驗證此推測)。
所以OEP函數可以分為四部分:
動態跟蹤驗證對sub_405250函數的猜測,發現堆棧中解密字符串,跟蹤調用完函數之後,LStrCmp函數的參數是解密的字符串與全局變量字符串:
由此可以確定sub_405250函數確實是一個解密字符串函數:
在IDA中對sub_405250函數名進行修改:
然後分析剩下的幾個執行惡意代碼的函數:
sub_40819c函數分析:
復制了自己到系統驅動目錄下,然後
sub_40D18C函數分析:
sub_40A5B0:
在回調函數內分析,此函數在遍歷目錄,並在感染後的文件夾內創建標記文件Desktop.ini
如果文件是GHO(備份),則將其刪除:
Sub_40C374:
進入回調函數查看:
第三個函數sub_40D088:
這個函數中創建線程,進行網絡連接:
調用了6個定時器:
第一個定時器(一秒觸發一次):
設置了文件隱藏屬性:
OpenProcessToken獲取訪問令牌;
利用LookupPrivilegeValueA可以獲取本地唯一標識符(LUID)
OpenProcessToke和LookupPrivilegeValueA獲取的信息被AdjustTokenPrivileges利用,進行提權:
發現是在檢查是否有殺毒軟件,如果有,則讓其關閉
均采用此方法分析可知:
第二個定時器(20分鐘觸發一次):
從http://wangma.9966.org/down.txt網站讀取到網頁源代碼並且運行代碼
第三個定時器(10秒觸發一次):
調用如下命令來刪除共享:
cmd.exe /c net share C$ /del /y
cmd.exe /c net share A$ /del /y
cmd.exe /c net share admin$ /del /y
第四個定時器(6秒觸發一次):
第五個定時器(10秒觸發一次):
打開解密之後的網頁:
第六個定時器(30分鐘觸發一次):
又是在下載惡意代碼:
至此,分析基本結束。
3.解決方案
3.1 手工查殺步驟或是工具查殺步驟或是查殺思路等。
1、刪除【C:\Windows\System32\drivers\spcolsv.exe】文件
2、刪除【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer
sion\Run】鍵項的svcshare
3、刪除每個盤符根目錄下生成兩個文件【autorun.inf和setup.exe】文件
4、設置【HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL】,CheckedValue的鍵值設置為1(顯示隱藏文件)
熊貓燒香分析報告