• 附带自己写的专杀工具,仅供参考(附赠专杀工具源码,由于时间仓促所以工具并不是很完善,有问题欢迎指正)。
  • 资源

背景介绍

  • 恶意代码主要的几种类型:

    • Virus(感染型病毒,侵入程序中)
    • Worm(蠕虫病毒,传播性)
    • Trojan(木马,远程控制,盗取账号信息等)
    • Ransomware(勒索软件,加密文档,勒索比特币等)
    • API(高级持续性攻击木马,窃取机密信息等)

  • 恶意代码案例概述

    • 熊猫烧香是一款具有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,不但能感染系统中的exe,com,pif,src,html,asp等文件,他还能终止大量的反病毒软件进程并且会删除扩展为gho的文件。

分析流程

分析病毒四部曲

  • 病毒分析师的任务是从中毒的机器中提取样本,第一时间手工清理或是修复机器现场,之后再做分析,所以可以将病毒分析步骤细分为以下四部曲:

    • 提取样本,手工清理机器
    • 行为分析,获取病毒行为
    • 详细分析,找到行为的恶意代码
    • 提出解决方案,提取特征改公司产品,完成查杀,编写文档报告,有条件时编写专杀工具

提取样本

  • 样本提取方法的概述:

    • 模拟真实环境,在虚拟机中,运行样本(一定要在虚拟机中运行病毒,切记切记)
    • 待病毒执行之后,删除样本,开始提取样本,同时手工清理掉危险
  • 在运行病毒前,记得保存一份快照,用于行为分析时恢复环境,防止手工清理造成的影响

提取步骤

1.使用ARK工具查看可疑进程

  • 使用两种工具Process Explorer和PCHunter分别进行进程查看,找到了关键进程。
    然后定位到文件路径,找到病毒样本,关闭病毒进程。

2.使用ARK工具查看启动项

  • 继续使用PCHunter进行查看,在启动信息一栏查找是否有异常的病毒启动项。

    之后删除找到的病毒启动项。

3.查看驱动服务等可疑项

  • 暂未发现异常

4.查看网络链接

-由于当时虚拟机联网功能出了问题,所以这里就忽略不写了,具体方法就是使用Fiddler等进行抓包分析

5.提取样本

  • 将路径下的文件提取到本地,并修改扩展名为vir

    • C:\Users\15pb-win7\Desktop\spo0lsv.exe改为
    • C:\Users\15pb-win7\Desktop\spo0lsv.vir

  • 样本信息如下:

    大小: 30001 bytes
    修改时间: 2018年7月14日, 8:40:21
    MD5: 512301C535C88255C9A252FDF70B7A03
    SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
    CRC32: E334747C

6.手动清理机器

  • 结束可疑进程 spo01sv.exe
  • 删除查找到的可疑启动项
  • 发现程序安装目录下被感染的exe变为了熊猫烧香图标,手工无法清除,当运行被感染程序时,病毒再次被激活,同时在当前文件夹下会生成一份原文件。
  • 可以发现并不可以手工清除掉病毒,想要清除需要进一步分析。

行为分析

概述

  • 获取样本之后,在虚拟机中,使用监控工具如火绒剑监控样本运行。待病毒运行差不多时,分开产看病毒的行为。
  • 分析监控到的日志,主要观察的点有:
    • 文件操作,主要看文件创建、修改、删除等操作
    • 注册表操作,主要看注册表设置、创建等操作
    • 进程操作,主要看网络链接地址、IP等信息
    • 其他行为,以及人肉看样本运行后的反应

操作步骤

  • 首先恢复虚拟机快照到刚才运行病毒之前的状态,然后进行行为分析。
  • 将样本拖入监控工具(火绒剑)中,监控其运行,在运行程序之前可以设置监控的行为。
  • 大致浏览监控到的日志进行初步分析,然后进行动作过滤分析监控到的日志。

1.文件操作

  • 主要查看病毒的文件创建、修改、删除等操作,设置监控的行为(动作),只查看文件操作的关键行为。
  • 分析发现样本创建了一些文件,观察文件,有一些文件与样本大小一致,猜测是副本

    还有一些ini配置文件,打开后存储了修改时间

2.注册表操作

  • 主要查看注册表设置、创建等操作,进行动作过滤后查看注册表日志:
  • 重点关注以下操作:

3.进程操作

  • 重点关注创建进程、写入内存等操作,设置动作过滤后,进行进程日志分析:

    查看过滤结果发现有下述敏感操作:枚举进程、启动自己释放的文件、打开设备、查找窗口。

4.网络操作

  • 主要查看网络链接地址、IP、端口等信息。设置动作过滤后查看到网络监控日志:

    通过分析过滤结果,发现进行了一些局域网的链接,同时访问了一些在病毒当时比较常用的主页,因该是为了判断网络状态,还有进行了一些外网的链接。

5.人肉查看其它行为

  • 对于样本的一些其它行为,需要人肉进行监控样本运行之后的反应:
  • 可以发现样本完成了下述的一些操作:
    • 创建了很多的Desktop_.ini文件,感染了很多exe,并且将exe的图标都变为了熊猫烧香图标。

  • 设置执行监控后,发现有cmd进程的创建

6.行为分析总结

  • 通过上述对样本的分析我们可以发现如下的一些恶意行为:

    • 自我复制样本(spo0lsv.exe)到C盘 C:\Windows\System32\drivers目录下,且进行文件隐藏

    • 在每一个目录下创建了Desktop_.ini文件,里面内容是当前日期

    • 在C盘根目录下创建了autorun.inf文件,里面指定了自启动的文件为根目录下的setup.exe(即样本附件),且文件也被设置为隐藏

    • 对程序目录下的exe进行了感染,图标变为了熊猫烧香图标,且做了替换,打开exe时,自动打开病毒

    • 设置注册表启动项C:\Windows\System32\drivers\spo0lsv.exe

    • 设置了键值,隐藏上面所说的几个文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

    • 自己创建了一个注册表项,在其中写入了很多信息HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\spo0lsv_RASAPI32

    • 枚举进程、查找窗口、打开设备

    • 链接局域网的一些地址,访问外面的一些网址

    • 使用cmd命令关闭网络共享cmd.exe /c net share admin$ /del /y

详细分析

  • 要想获取样本更加详细的行为,需要使用IDA和OD等工具进行样本分析。
  • 重新恢复快照,然后进行详细的分析。

具体分析步骤

1.查壳、脱壳

  • 首先使用PEID进行查壳,有壳的话要先脱壳。查找发现壳是FSG 2.0。

  • 接下来进行脱壳,使用OD打开,找到OEP,这里区段信息被隐藏,所以不能直接判断编译器版本。

  • 脱壳FSG:单步运行,找到LoadLibrary和GetProcessAddress中的jmp,然后下断点,F9运行起来,jmp就跳转到oep的位置。

  • 之后跟随第一个call找到IAT表


  • 之后在数据窗口进行IAT表的查看

    发现每个模块中间不是以0分隔的,说明壳对IAT做了修改,因为改的不多,所以手动修改为0,之后就可以Dump了,Dump下来后使用ImportRec进行修复,然后就可以进行分析了。这里修复IAT时要注意因为ImportREC定位Delphi程序并不是很准,所以需要观察内存然后可以手动定位到IAT起点,大小需要指定大一些,防止不能完全获取,多余的无效函数剪切就好。

  • 脱壳后进行PEID深度分析,为Delphi 6.0-7.0程序

  • 预知后文如何,请跳转链接长文预警-超详细的熊猫烧香病毒分析_01

长文预警-超详细的熊猫烧香病毒分析_00相关推荐

  1. 【逆向】Delphi程序逆向之熊猫烧香病毒分析

    1.前言 本文主要用于记录Delphi程序逆向的一些方法和技巧,以及熊猫烧香病毒的分析过程. 2.分析技巧 2.1 使用IDR或DEDE加载Delphi程序,导出Map文件,将Map文件导入OD. 2 ...

  2. 病毒丨熊猫烧香病毒分析

    作者丨黑蛋 一.病毒简介 病毒名称: 熊猫烧香 文件名称: 40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496 文件格式: ...

  3. 熊猫烧香病毒分析与专杀工具

    先看看专业分析: Jacks.exe setup.exe 熊猫烧香 尼姆亚 解决方案 档案编号:CISRT2006078 病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersk ...

  4. 熊猫烧香病毒背后,网络高手对决一个月

    这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...

  5. 熊猫烧香病毒幕后黑手曝光 网络世界高手对决一个月

    这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...

  6. “熊猫烧香”病毒急速变种肆虐 大量网民中招

    近日,"熊猫烧香"病毒横行互联网,超过百万网民受到不同程度侵害.记者在百度"熊猫烧香"贴吧看到,已有中毒的网友愤怒地发帖,声明愿出10万美金通缉"熊猫 ...

  7. [系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析--病毒释放过程(下)

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...

  8. 熊猫烧香病毒攻击千家网站 (转贴)

    核心提示:在两个多月的时间里,"熊猫烧香"病毒迅速化身数百种,不断入侵个人电脑,感染门户网站和近千家大型企业.病毒作者留名"武汉男孩",他对病毒的更新使反毒人士 ...

  9. 程序之家系列教程之手把手教你写熊猫烧香病毒专杀工具

    (作者:chenhui530,论坛 http://chenhui530.com ) 前言       经过去年和熊猫烧香.威金等病毒的"斗争",我也累了,"程序之家病毒专 ...

  10. 熊猫烧香病毒专杀及手动修复方案

    编者按:本文介绍了熊猫烧香病毒.熊猫烧香病毒变种的查杀方法,及熊猫烧香病毒的手动清除方案.提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案,和熊猫烧香病毒专杀工具. 在 ...

最新文章

  1. led透明屏生产厂家_LED透明屏与LED玻璃屏有何区别
  2. 深圳“拍了拍”长沙:美食巨头文和友、茶颜、徐记海鲜正在“排队”签收
  3. LRU缓存 数据结构设计(C++)
  4. 深入浅出mysql gtid_深入理解MySQL GTID
  5. 51单片机——SPI
  6. java 加密\解密工具类
  7. 视频教程-cURL实战教程-PHP
  8. GUI开发和JDBC编程实现员工管理
  9. 域名抢注流程是什么?
  10. excel 行列互换 绿色工具(怎么把行变成列,把列变成行)
  11. 图的表示(无权图和有权图)
  12. android xposed开发视频,【Xposed】抖音短视频检测 Xposed 分析
  13. Facebook投资者Peter Thiel—一个不折不扣的“魔戒”迷
  14. 网格化垃圾监控管理系统介绍
  15. There are multiple modules with names that only differ in casing.This can lead to unexpected behavi
  16. JavaScript------BOM
  17. 电视盒子搜索不到电脑开出热点的问题
  18. 解析json文件,生成指定数据
  19. 国家地球系统科学数据中心-ftp数据下载
  20. 取模运算和取余运算的区别

热门文章

  1. c语言程序设计教程pdf下载,C语言程序设计教程PDF合集-中国科技大学.pdf
  2. Thinkphp学习笔记——友情链接的添加和验证
  3. Ubuntu18.04找不到wifi适配器解决办法以及怎么上网
  4. 使用VS code编辑md文件,并导出pdf
  5. 说到正版软件方面,留意下,其实还是蛮多的
  6. WIN11安装JDK8
  7. c++游戏编程100事列_游戏编程入门(c++小游戏编程100例)
  8. c语言中学生信息管理系统中删除学生信息,学生信息管理系统C语言编程
  9. python输出小数_python输出小数
  10. python表白代码大全简单-程序员python表白代码