第一次写博客,这个病毒挺经典的,拿来上手。

一、病毒信息
病毒名称:熊猫烧香
MD5: 3520d3565273e41c9eeb04675d05dca8
SHA-1: bb1d8fa7ee4e59844c1feb7b27a73f9b47d36a0a
SHA-256:e7d2753d55876f89967727e909d7bcbdf36653a8be2c5f9f57789fec4d4284ed
文件类型:Win32 EXE
文件大小:61952 bytes
主要行为:1.自我复制到系统目录下并运行;
2.添加自启;
3.隐藏文件和文件夹;
4.关闭杀毒软件的服务和自启功能;
6.感染exe文件;
7.感染局域网中的主机;
8.关闭网络共享;
9.下载远程数据;
10.定时执行恶意行为。

二、分析环境与工具
环境:Windows XP SP3 32位
工具:OllyDbg、IDA Pro、Process Monitor、PEView。

三、具体行为分析

病毒没有加壳,程序由delphi编写。

1.自我复制到C:\WINDOWS\system32\drivers目录下并以spcolsv.exe为名运行。




2.将病毒添加自启并设置“不显示隐藏的文件和文件夹”


3.停止杀毒软件的服务并关闭自启功能


4.在各个目录下创建了AUTOEXEC.BAT和Desktop.ini,autorun会自动运行setup.exe。


5.修改exe文件图标

6.通过139、445端口连接局域网中的主机。



7.运行命令关闭网络共享net share。


8.解密网址并下载。


9.在exe文件末尾添加WhBoy+原本文件名作为该文件被感染的标识。

10.设置计时器,分别每隔1秒、20分钟、10秒、6秒进行设置自启且不显示隐藏文件、解密网址、删除网络共享、终止杀毒软件服务。

四、解决方法
1.终止spcolsv.exe进程;
2.删除位于C:\Windows\System32\drivers的spcolsv.exe文件;
3.删除名为svshare的自启项;
4.将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL\CheckedValue键值更改为1;
5.删除各个路径下的AUTOEXEC.BAT、Desktop.ini;
6.打开网络共享;
7.去除exe文件末尾的感染标识、换回原图标;
8.恢复杀软的运行。

熊猫烧香病毒的分析报告相关推荐

  1. 熊猫烧香病毒技术分析及应急解决方案

    熊猫烧香病毒技术分析及应急解决方案 BY Delphiscn(http://blog.csdn.net/delphiscn)cnBlaster#hotmail.com 目录 A.简介 B.样本分析 C ...

  2. 【逆向】Delphi程序逆向之熊猫烧香病毒分析

    1.前言 本文主要用于记录Delphi程序逆向的一些方法和技巧,以及熊猫烧香病毒的分析过程. 2.分析技巧 2.1 使用IDR或DEDE加载Delphi程序,导出Map文件,将Map文件导入OD. 2 ...

  3. 病毒木马查杀实战第007篇:熊猫烧香之逆向分析(下)

    前言 这次我们会接着上一篇的内容继续对病毒进行分析.分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分 ...

  4. 病毒木马查杀实战第003篇:熊猫烧香之行为分析

    前言 为了分析"熊猫烧香"病毒的行为,我这里使用的是Process Monitor v3.10版.关于这款软件的使用,可参考以下三篇文章: <文档翻译第001篇:Proces ...

  5. [系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析--病毒释放过程(下)

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...

  6. 病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)

    前言 对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段.为了节省篇幅,在这里我不打算将"熊猫烧香"进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这 ...

  7. 熊猫烧香病毒背后,网络高手对决一个月

    这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...

  8. 熊猫烧香病毒幕后黑手曝光 网络世界高手对决一个月

    这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...

  9. 熊猫烧香病毒攻击千家网站 (转贴)

    核心提示:在两个多月的时间里,"熊猫烧香"病毒迅速化身数百种,不断入侵个人电脑,感染门户网站和近千家大型企业.病毒作者留名"武汉男孩",他对病毒的更新使反毒人士 ...

  10. 有人说是金山造了熊猫烧香病毒

    在百度贴吧看到篇文章,作者臆断熊猫是金山出的,想到白天还跟珠海研发讨论过抓熊猫作者的事情.已经有了一些线索,可惜咱们这个国家对病毒制作者.传播者的打击力度...实在是差点儿意思. 原贴在[url]ht ...

最新文章

  1. 算法系列之二十:计算中国农历(二)
  2. Android 8 WiFi断流,安卓8.0曝出重大bug,比国产手机WiFi断流严重多了
  3. 强行分类提取特征自编码网络例2
  4. 【计算机网络】网络安全 : 运输层安全协议 ( 安全套接字层 SSL | 运输层安全 TSL | SSL 服务 | SSL 安全会话建立流程 )
  5. ionic3学习之总结
  6. HTML 5 各浏览器支持情况
  7. STM32工作笔记0028---上拉电阻,下拉电阻
  8. RenderMonkey 练习 第一天 【opengl 纹理】
  9. 乌班图 修改ip_Ubuntu临时和永久修改ip地址掩码和网关
  10. 向中级程序员转变的10个建议
  11. c#无标题窗口的拖动
  12. HDOJ5455 Fang Fang(模拟)
  13. Farkas 定理的几何证明
  14. 掌财社:央行重磅数据出炉 M2增速大降3个百分点 社融增量仅1.85万亿 释放什么信号?
  15. 中兴a2018拆机图片_中兴a2s拆机视频
  16. java猜数游戏图形界面_java 猜数字游戏 swing实现带界面
  17. Pomodoro Technique番茄钟的理解
  18. jdk8新特性之出现This inspection finds all usages of methods that have @since tag in their documentation.
  19. Python数据处理基础操作
  20. Android App支付系列(一):微信支付接入详细指南(附官方支付demo)

热门文章

  1. navicat循环执行上下两行相减sql语句_十步完全理解SQL,小白也可以做到!
  2. 10打印机用户干预怎么办_专业分析:爱普生喷墨打印机为什么是行业标杆?
  3. api 原生hbase_HBase实践 | BDSHBase数据迁移同步方案的设计与实践
  4. python2中的print语句可以不用小括号。_Python基础语法 | 代码规范amp;判断语句amp;循环语句...
  5. 选择图层_PS图层之——基本功能详细介绍
  6. java 快速排序算法简单_Java 快速排序算法的简单说明及实现
  7. php http请求 微信,微信小程序封装http请求类的代码实例
  8. JAVA中jspinner设置选中内容_java – 如何在JSpinner中获取所选项的值?
  9. android测试工具Demo,Android 测试工具,实时抓被测app crash实现思路
  10. Linux系统管理——账号管理与权限及归属管理实例