[病毒分析]熊猫烧香
熊猫烧香病毒分析报告
- 1.样本概况
- 1.1 样本信息
- 1.2 测试环境及工具
- 1.3 分析目标
- 2.具体行为分析
- 2.1 主要行为
- 2.1.1 恶意程序对用户造成的危害
- 2.2 恶意代码分析
- 3.解决方案
- 3.1 提取病毒的特征,利用杀毒软件查杀
- 3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
- 参考文献
1.样本概况
1.1 样本信息
1.病毒名称:panda.exe
2.文件大小:30001 bytes
3.MD5值:512301C535C88255C9A252FDF70B7A03
4.SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
5.CRC32:E334747C
病毒行为:
复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项
1.2 测试环境及工具
火绒剑、OD、IDA、MD5工具、Win7 Malware Defender
1.3 分析目标
恶意行为分析,病毒特征,并查杀
2.具体行为分析
2.1 主要行为
如果分析有错误,谢谢大家帮我指正
2.1.1 恶意程序对用户造成的危害
PE文件无法正常启动 系统资源被占用.
2.2 恶意代码分析
病毒第一次执行
进程动作
删除隐藏共享功能
火绒剑监测到的感染文件行为
网络通讯行为
PE文件感染代码分析
病毒会将EXE和其它想要感染的文件读进内存,在内存中把自身写入到源文件的头部,并在末尾追加了文件简略信息的字符串,类似感染标识
感染的文件有exe、scr、pif、com html
被感染文件对比:
上图是源文件头部和尾部
下图是感染后的文件头尾
尾部被加上了一些简略信息
HTML字符串解密
HTML感染前后对比
感染前
感染后
线程时钟感染和自我保护
1.添加启动项,修改注册表,添加特权,遍历杀软,结束任务管理器
从网站读取到网页源代码并且运行代码(目前已经失效…)
3.CMD命令删除共享服务
4.删除杀软注册表项 关闭防火墙服务
TCP端口建立与感染
病毒会对链接端口进行弱口令匹配 若成功则发动攻击
3.解决方案
3.1 提取病毒的特征,利用杀毒软件查杀
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
1、删除病毒文件C:\WINDOWS\system32\drivers\spo0lsv.exe并且遍历文件查找到母体并删除;
删除目录下INI文件 ,根据偏移恢复被感染文件格式.
清除病毒启动项
设置HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL 为1
恢复防火墙服务
参考文献
[1] 斯科尔斯基 哈尼克. 恶意代码分析实战. 电子工业出版社. 2014.
[2] 戚利. Windows PE权威指南. 机械工业出版社. 2011.
[2] 任晓珲 黑客免杀攻防 . 机械工业出版社. 2013.
[病毒分析]熊猫烧香相关推荐
- [病毒分析]熊猫烧香(下)核心函数部分分析
熊猫烧香(下)病毒释放过程 1.loc_408171 2.sub_403F8C子函数 3.sub_4060D4子函数 4.CopyFile和WinExe子函数 1.loc_408171 第一步 打开I ...
- [病毒分析]熊猫烧香(中)病毒释放机理
熊猫烧香(中)病毒释放机理 1.sub_40277C子函数 2.sub_405684子函数 3.sub_403ED4子函数 4.sub_4057A4子函数 5.分析sub_4057A4后续删除功能 6 ...
- [病毒分析]熊猫烧香分析
目录 1.样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 2.具体行为分析 2.1 主要行为 2.1.1 恶意程序对用户造成的危害 2.2 恶意代码分析 3.解决方案 3.1 提 ...
- 新病毒仿熊猫烧香 利用 Vista系统漏洞疯狂传播
3月31日,瑞星全球反病毒监测网截获一个与"熊猫烧香"非常相似的高危病毒,命名为"ANI蠕虫(Worm.DlOnlineGames.a)".该病毒不光传播和危害 ...
- 对比勒索病毒和熊猫烧香,谈如何保证服务器端数据安全?
勒索病毒中毒后画面 熊猫烧香中毒画面 传播方式比较: 和大部分病毒木马一样,都是先想方设法进入局域网,以前常见的方式是通过邮件或网页方式.病毒文件等传统传播方式传播进局域网,这次多了一个通过文件共享端 ...
- YouTube博主实测病毒之王“熊猫烧香”,当年是它太强还是杀毒软件太弱?
来源|大数据文摘 文|王烨 2007年,有一款电脑病毒席卷大江南北,无论是个人还是企事业单位,电脑纷纷中招,网络一度瘫痪. 这款病毒的特点是被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三 ...
- 病毒丨熊猫烧香病毒分析
作者丨黑蛋 一.病毒简介 病毒名称: 熊猫烧香 文件名称: 40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496 文件格式: ...
- 小白学分析——熊猫烧香分析报告【附pdf】
0x00 样本信息 名称:panda.exe 文件大小:60.50 KB (61952 bytes) 修改时间:2007.01.09 MD5:3520D3565273E41C9EEB04675D05D ...
- IDA分析-熊猫烧香
转载自CSDN博主「九阳道人」大神. 版权声明:本文为CSDN博主「九阳道人」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明. 原文链接:https://blog.c ...
最新文章
- Android实战技巧之三十七:图片的Base64编解码
- Sql 将多个表查询的结果进行再次查询
- c#图片base64去转义字符_C#实现字符串与图片的Base64编码转换操作示例
- 动画性能优化-requestAnimationFrame、GPU等
- word List37
- 可以用什么代替平面镜
- Redux从设计到源码
- mysql 备份 一张表_mysql 备份表的一个方法
- (计算机组成原理)第一章计算机系统概述-第四节:计算机的性能指标
- java中对象输入流和输出流
- 从单体架构迁移到微服务,8个关键的思考、实践和经验
- 向pandas DataFrame添加一行
- Mac 不能进入睡眠模式,如何修复?
- PHP人民币金额数字转中文大写的函数
- mysql 32位_MySQL8下载 MySQL 8 for windows 32位 v8.0.18 官方免费正式版 下载-脚本之家
- java中math中的指数是,java指数运算math
- bilibili自动上传视频脚本(纯ruby)
- 关于RuntimeError: Cannot re-initialize CUDA in forked subprocess和CUDA error: initialization error的解决
- ultravnc服务器不接收消息,远程控制软件UltraVNC的教程
- bootstrap中使用日历控件
热门文章
- 【经验】VMware|windows更新20H2版本后VMware虚拟机无法开启(禁用Device guard)
- SQL注入攻击的原理、分类和防御方法
- pytorch中的contiguous
- 【Docker】fuse: device not found, try ‘modprobe fuse‘ first
- GaussDB ETCD 服务异常实例分析处理的5种方法
- python变量及数据类型
- Python数据可视化——散点图
- java 连接多实例_Java如何连接多实例SQL Server?
- androidnbsp;关机闹钟
- 计算机图形学绪论:感知、光、颜色和数学