记一次带有FSG壳的熊猫烧香病毒分析过程
- 样本概况
- 样本信息
- 测试环境以及工具
- 分析目标
- 具体行为分析
- 0利用查壳工具查看
- 1.利用PChunter
- 2.手工清理
- 3.利用火绒剑进行主要行为分析
- 恶意行为的一个简要小结
- 4.脱壳
- 病毒恶意行为分析(OD结合IDA双剑合璧)
- 知识点扩展1:
- 知识点扩展1小结:
- 知识点扩展2
- 知识点扩展3
- 知识点扩展4(编辑函数标签:)
- 知识点扩展5(有关seh链的:)
- 知识点扩展6(Delphi语言中传参)
- 知识点扩展1:
- 恶意代码分析
- 专杀工具的编写
- 总结
样本概况
样本信息
文件:spo0lsv.exe
大小:3001字节
MD5:512301C535C88255C9A252FDF70B7A03
SHA1:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
CRC32:E334747C
病毒行为:自我复制,感染可执行文件,修改网页文件内容,修改注册表,删除备份文件,关闭杀毒软件窗口,服务与进程
测试环境以及工具
测试环境:win7 32bit
分析工具:OD,IDA,火绒剑,PChunter
分析目标
分析病毒行为与程序具体执行流程;
具体行为分析
0利用查壳工具查看
发现其加了FSG壳
1.利用PChunter
打开Pchunter之后发现可疑进程:
查看启动项那一项:
查看驱动,服务等可疑项
未发现异常
查看网络连接:
发现可疑进程的网络连接:
使用抓包工具(WSExplorer)查看可疑流量:
提取样本(利用hash工具)
将路径下文件提取到压缩到本地,并修改扩展名为vir
2.手工清理
a.结束可疑进程 spo01sv.exe(在PChunter中的spo01sv.exe右击—>结束进程)
b.删除可疑进程启动项:如下图
3.利用火绒剑进行主要行为分析
a.先暂时只勾选下面这两个动作,其他都不勾选:
点击确定:
发现生成了一个病毒exe:
注册表操作:
点击确定之后:
设置启动项:
进程操作:
网络操作:
实用技巧:利用火绒剑中的动作详细信息中的调用栈可以定位到相关动作信息
其他行为:
执行监控:
执行CMD命令,删除网络共享!
恶意行为的一个简要小结
1.自我复制样本到c盘,c/Windows/driver/目录下面
启动c/Windows/driver/spo01sv.exe(样本)
2.在每一个目录下面创建了Desktop_.ini
4.脱壳
手脱FSG2.0过程:
运行至下图中位置:
按F9运行:
EDI数据窗口中跟随:
按F9继续:
继续F9(经过若干次的F9以后):IAT修复完成
同时将IAT中的7FFFFFFF改成00000000
下面按F7跳至OEP:
下面DUMP文件:(D278为默认,一般不会错,查看此时OEP:0040D278)
保存为1.exe
修复IAT:
D278为上面在OD里面dump时候的oep的值
选择1.exe
1.exe是从OD里面dump下来的
1_.exe是自己生成的
脱完壳以后进行深度扫描:(发现其语言为Delphi6.0-7.0)
至此,脱壳完成!
病毒恶意行为分析(OD结合IDA双剑合璧)
1.将dump修复之后的文件使用IDA打开;
按shift+F5:
2.在IDA中用Shift+F5打开签名窗口:
右键加入delphi的签名库:
按快捷键:ctrl+F搜索delphi:
IDA与OD双剑合璧
OEP处的对比:
进入到函数里面,堆栈中跟随:
知识点扩展1:
借此机会,讲讲交叉引用与导入表的联合应用:
双击此API:
按Ctrl+x:
双击下面框中的API,就会跳往调用RegCreateKeyExA这个API的函数
可以发现RegCreateKeyExA这个API是在上面这个框里面的这个函数(j_RegCreateKeyExA)中的,下面对这个函(j_RegCreateKeyExA)数进行交叉引用
Ctrl+x,交叉引用:
来到了上一层函数:
来到了上一层:
跳往上一层:
再次跳往上一层,交叉引用:
这里就是接近OEP的地方了;
知识点扩展1小结:
结合导入表,查看关键API,利用交叉引用这个强大的功能可以直捣黄龙,追根朔源!
知识点扩展2
一般而言,黑色表示非系统函数,上面的天蓝色表示系统函数,
知识点扩展3
OD和IDA配合的又一个例子:
在OD里面不知道这个函数的功能,想要知道它大概的功能,可以这么做:
利用这个函数在OD中的地址,在IDA里面搜索:
显而易见,这个函数就是一个字符串拼接库函数;
说明:如果OD和IDA加载基址不一样的话可以按照下面操作调整:
知识点扩展4(编辑函数标签:)
知识点扩展5(有关seh链的:)
.seh链的:
栈顶是指向下一个seh的地址,栈顶的下一行是当前处理异常的函数所在地址,如果当前处理不了,就发给下一个seh:
依次类推,直到seh的链尾
知识点扩展6(Delphi语言中传参)
Delphi语言中是用寄存器传参的:
恶意代码分析
分析思路:
从OEP处开始的代码:
猜测sub_405250的依据:
调用的第一个sub_405250函数,其参数有”xboy”,后面另一次调用之中,参数有字符串”whboy”,并且在调用sub_405250函数之后,又调用strcmp函数,之后又有判断返回值的代码,如果不对,则退出进程
动态跟踪sub_405250函数:
观察LstrArrayClr函数;
可以发现调用当前代码的函数(其实就是主函数):
继续跟,来到主函数线程中:
寻找定位字符串!(IDA与OD结合)
当然也可以在OD中进行定位:
第一个恶意代码函数分析:
v43 = &savedregs;v42 = &loc_408781;v41 = __readfsdword(0);__writefsdword(0, (unsigned int)&v41); // Write memory to a location specified by an offset relative to the begining of the fs segment,这里0为偏移量,后面一个参数为要写入的数据System::ParamStr(0, &v71);//就是在exe文件后面可以跟参数,paramstr 获取的就是exe文件后面跟参数。
如有可执行文件project1.exe 在运行中输入e:\project1.exe 123 456 789
那么paramstr(1)='123' paramstr(2)='456' paramstr(3)='789',这里paramstr函数括号里面应该只有一个函数,它这里伪代码可能有点问题,
unknown_libname_123(v71, &v72);
重点部分1:
复制自身到系统驱动目录下面,然后执行拷贝的程序
Teminatevirusprocess这个函数的猜测,是因为在IDA中进入到这个函数之后发现了teminatevirusProcess这个关键API,至于为什么为是结束的是病毒,根据这个函数括号里面的关键字符串来猜测的,结束掉病毒进程是为了让自己隐藏起来不让杀毒软件找到
感染文件部分:
感染函数:
可以发现,病毒感染了C:\program Files 目录下的exe,过程如下:
1读取原文件至内存
2.复制病毒至感染路径,覆盖原文件
3.在感染之后的exe上追加原标识
4.在感染之后的exe上追加感染标识
如下:Whboy+原文件名+随机数
第二个恶意代码函数里面:
进入回掉函数:
遍历文件目录行为:
这里搜索机器上的可用分区,然后感染分区中的脚本文件,但是除了上图中的”WINDOWS”,”WINNT”,”system32”等文件夹。
小技巧,在IDA中:
将伪代码识别出来的特征API在IDA view视图中快速定位出来alt+t键
回到主线:
感染后病毒在相应的文件夹中写上已感染标记文件Desktop_.ini。
如果文件是GHO(备份),则将其删除
即:病毒会删除机器中GHO文件,使得中毒后无法使用ghost还原
进入包含SetTimer这个API的函数:
进入SetTimer的回掉函数:
1.搜索字符串进行定位:
ALT+T进行字符串搜索:
设置定时器,将病毒自身复制到各分区根目录下命名为setup.exe,并生成autorun.inf文件
创建文件并向文件里面添加数据!
连接本地网络
执行恶意代码的第三个函数:
这个函数中调用了6个定时器:
进入第一个回掉函数sub_40CEE4:
OpenProcessToken获取访问令牌;
利用LookupPrivilegeValueA可以获取本地唯一标识符(LUID)
OpenProcessToke和LookupPrivilegeValueA获取的信息被AdjustTokenPrivileges利用,进行提权:
Ctrl+x进行交叉引用
检查是否有杀毒软件,如果有,则让其关闭
与此同时,结束以下进程:
添加设置注册表选项:
以上为第一个回掉函数;
下面看第二个回掉函数:
使用InternetOpen初始化WinINet函数,然后使用InternetOpenUrl打开指定链接,最后用InterReadFile读取到网页源代码,下载恶意代码:
创建里两个回掉函数,估计不会干什么好事:
执行cmd命令:
利用cmd命令删除共享文件
怎么样利用字符串定位函数:
Alt+B键来定位:
删除杀毒软件启动项,关闭杀软服务:
打开解密之后的网页:
先解密然后从网址下载恶意代码:
至此,分析基本结束!
专杀工具的编写
参考我写的这篇博客:
熊猫烧香专杀工具编写
总结
最后以一张流程图来总结一下熊猫烧香的过程:
(注:图中清楚应为 清除!)
记一次带有FSG壳的熊猫烧香病毒分析过程相关推荐
- 【逆向】Delphi程序逆向之熊猫烧香病毒分析
1.前言 本文主要用于记录Delphi程序逆向的一些方法和技巧,以及熊猫烧香病毒的分析过程. 2.分析技巧 2.1 使用IDR或DEDE加载Delphi程序,导出Map文件,将Map文件导入OD. 2 ...
- 病毒丨熊猫烧香病毒分析
作者丨黑蛋 一.病毒简介 病毒名称: 熊猫烧香 文件名称: 40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496 文件格式: ...
- 熊猫烧香病毒分析与专杀工具
先看看专业分析: Jacks.exe setup.exe 熊猫烧香 尼姆亚 解决方案 档案编号:CISRT2006078 病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersk ...
- 熊猫烧香病毒背后,网络高手对决一个月
这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...
- 熊猫烧香病毒幕后黑手曝光 网络世界高手对决一个月
这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...
- 熊猫烧香病毒专杀及手动修复方案
编者按:本文介绍了熊猫烧香病毒.熊猫烧香病毒变种的查杀方法,及熊猫烧香病毒的手动清除方案.提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案,和熊猫烧香病毒专杀工具. 在 ...
- 熊猫烧香病毒企业局域网网完整解决方案
继维金后的熊猫烧香病毒一度蔓延开来. .我们可能会因为工作繁忙忘记给金山毒霸客户端升级导致系统中该病毒.网上有各种针对该病毒的解决办法.我们也不去讨论其良莠了,在这里,主要面向各位负责金山毒霸企业版( ...
- 熊猫烧香病毒背后的***社会
通过"江湖传言"得知,在一个庞大的犯罪链条中,处于利润最丰厚环节的"老板"远在上海,他可能通过比"熊猫烧香"隐蔽得多的病毒,或者是其他不为外 ...
- 有人说是金山造了熊猫烧香病毒
在百度贴吧看到篇文章,作者臆断熊猫是金山出的,想到白天还跟珠海研发讨论过抓熊猫作者的事情.已经有了一些线索,可惜咱们这个国家对病毒制作者.传播者的打击力度...实在是差点儿意思. 原贴在[url]ht ...
- “熊猫烧香”病毒简介及特征
"熊猫烧香"病毒简介及特征 "武汉男生",俗称"熊猫烧香",这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html ...
最新文章
- 深入理解计算机系统结构——并发编程
- Django RestFramework BaseSerializer
- 单调队列 Monotonic Queue / 单调栈 Monotonic Stack
- zookeeper的ZAB协议学习
- 2012.1.15---学习笔记
- 多益网络 视频面试面试总结20180816
- jquery :nth-child()选择器的简单应用
- 顶岗实习周记java方向_会计学院顺利召开2021届毕业生顶岗实习动员大会
- 简单理解盘索引地址的表示原理
- 编程的一些经历和感想
- 读《我在未来等你》有感
- 李洪强和你一起学习前端之(9)规避脱标,CSS可见性,滑动门案例
- ‘net’ 不是内部命令或外部命令,也不是可运行的程序或批处理文件
- 《Core Data应用开发实践指南》一导读
- 分享刚学会的安装手机浏览器的实用插件tampermonkey方法
- 等保2.0|二级等保和三级等保要求对比
- 计算机话筒技术指标,麦克风
- 一线互联网互联网架构师自述:GitHub标星10w+,2021最新Android笔经
- 测试之smart原则
- ORA-02292: integrity constraint