1.样本概况

1.1 样本信息

病毒名称:spo0lsv.exe

所属家族:Worm

MD5值:512301C535C88255C9A252FDF70B7A03

SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32:E334747C

文件大小:30001bytes

壳信息:FSG 2.0

病毒行为:复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项

1.2 测试环境及工具

Win7、PEID、火绒剑、x64dbg、OD、IDA、010Editor、PCHunter、Hash

1.3 分析目标

分析病毒的恶意行为,通过恶意代码梳理感染逻辑,编写查杀修复工具。

2.具体行为分析

2.1 主要行为

病毒的主要行为分三部分:
    第一部分(自我复制执行)

第二部分(感染部分)

第三部分(病毒自我保护)

2.1.1 恶意程序对用户造成的危害(图)

1、病毒复制自身到:C:\Windows\System32\drivers\spo0lsv.exe并启动

2、每个目录下创建Desktop_.ini文件,并隐藏;

3、每盘符根目录创建autorn.inf、setup.exe文件并隐藏,setup.exe设置为自启动;

4、感染后缀位exe scr pif com文件和后缀为htm html asp php jsp aspx文件;

5、设置注册表键值得,svcshare项设置自启动;

6、连接局域网中其他计算机;

2.2 恶意代码分析

2.1 病毒OEP代码执行过程分析

2.2 病毒释放和运行分析

2.3 病毒感染分析

2.3.1 全盘感染

删除.GHO文件

感染后缀位.exe .scr .pif .com文件

感染后缀为htm html asp php jsp aspx文件

2.3.2 定时器感染

2.3.2 局域网感染

2.4 病毒自我保护分析

2.4.1 定时器1回调函数sub_40CEE4

设置病毒自启动,设置无法开启显示隐藏文件;

2.4.2 定时器2回调函数sub_40D040

2.4.3 定时器3回调函数sub_40D048

2.4.4 定时器4回调函数sub_407430

2.4.5 定时器5回调函数sub_40CC4C

2.4.6 定时器6回调函数sub_40C728

3.解决方案(或总结)

3.1 提取病毒的特征,利用杀毒软件查杀

网络ip:

字符串:WhBoy

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

1、关闭spo0lsv.exe进程,删除C:\Windows\System32\drivers\spcolsv.exe

2、删除HKEY\Software\Microsoft\Window\CurrentVersion\Run中自启动项svcshare

3、显示隐藏文件,设置HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Advanced\Folder\Hidden\SHOWALL中CheckedValue键值设置为1

4、删除每个盘符根目录中的autorun.inf和setup.exe及目录中的隐藏文件Desktop_.inii

转载于:https://www.cnblogs.com/Schicksal/p/10559817.html

spo0lsv病毒分析相关推荐

  1. 学习笔记-spo0lsv病毒分析

    1.样本概况 1.1 样本信息 病毒名称:spo0lsv.exe(熊猫烧香) 所属家族:Worm MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A107 ...

  2. 熊猫烧香变种病毒分析

    熊猫烧香变种病毒分析分析报告 样本名 2_dump_SCY.exe(熊猫烧香) 作者 yusakul 时间 2018-07-13 平台 Win7-32 1.样本概况 1.1 样本信息 病毒名称 2_d ...

  3. [病毒分析]熊猫烧香

    熊猫烧香病毒分析报告 1.样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 2.具体行为分析 2.1 主要行为 2.1.1 恶意程序对用户造成的危害 2.2 恶意代码分析 3.解决 ...

  4. 病毒分析报告-熊猫烧香

    分析报告 样本名 Worm.Win32.Fujack.p 时间 2017-5-27 平台 Windows 10 病毒分析报告 目录 1.样本概况    3 1.1 样本信息    3 1.2 测试环境 ...

  5. C:/WINDOWS/system32/x 病毒分析和解决建议

    系统出现问题,症状有: 偶尔很卡,CPU并没有很高的进程: 死机,屏幕锁定,键盘失灵,仅鼠标能移动,但是不能任何操作: 只能强行重新启动: NOD32会报以下病毒警告: C:/WINDOWS/syst ...

  6. 013 Android锁机病毒分析

    文章目录 免流服务器-锁机病毒分析 秒抢红包-锁机病毒分析 免流服务器-锁机病毒分析 首先来分析这个免流服务器的锁机病毒,文件信息如下 文件: 免流服务器.apk 大小: 799835 bytes 修 ...

  7. Android逆向与病毒分析

    本文由同程旅游安全团队对内移动安全培训的PPT整理而来,面向对象为对移动安全感兴趣的研发同事,所以讲的有些宽泛.介绍了入门Android逆向需要掌握的一些知识点, 通过简单的几个案例讲解Android ...

  8. 一个感染型木马病毒分析(二)

    作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了 ...

  9. 分享几个病毒分析检测网址

    1.在线病毒分析网站: 以下网站上传样本后,很快就会在网页上出报告的: (1)这个网址报告格式很简洁,我很喜欢:http://camas.comodo.com/ (2)这个网址的报告最全面,而且会真的 ...

最新文章

  1. [导入]金山词霸2005精简版下载地址
  2. Oracle回应用户锁定,自治数据库是更好选择
  3. maven java 可执行jar_Maven项目打包成可执行Jar文件
  4. 我的第一个项目(人力资源管理之报表管理)
  5. 使用 GDB 恢复堆栈信息
  6. matlab机械臂工作空间代码_轻型协作机械臂运动学及工作空间分析
  7. matlab中将ebn0转snr,EbNo(EbN0)和SNR
  8. python做数据可视化的优势_用Python进行数据可视化的10种方法
  9. QTableView使用方法小结
  10. ambari集群修改ip地址
  11. [附源码]java毕业设计疫情防控期间人员档案追寻系统设计与实现论文
  12. linux设置apn脚本apn,LINUX 4G pppd接入点设置
  13. 08s01 mysql_mysql报错 code:08S01,msg:SQLSTATE
  14. Android与MVC设计模式相关操作
  15. 鸿蒙开发|呼吸训练实战项目(一)
  16. Mac VMware Fusion提示物理内存不足
  17. 数据库重组函数reorg
  18. linux从文件中匹配查找内容
  19. C语言中数组首地址和数组第一个元素的地址有什么区别
  20. Android应用市场

热门文章

  1. 程序员面试中一面、二面、三面有什么区别?
  2. pci-e服务器显卡性能,RTX 2080 Ti PCI-E性能测试:3.0 x16终于成为必需
  3. Swift 进阶 | 看得见的算法
  4. Node.js内置模块 events的基本使用
  5. 怎么做二维码?二维码制作的简单方法
  6. ubuntu 14.04 opera浏览器flash插件安装
  7. 架构师之路(七)之五视图方法论
  8. latex和word文档互相转换
  9. 世界7条高智商测试题
  10. 神州优车联合体斥资近40亿控股宝沃 建立联合营销工作小组