1．样本概况

1.1 样本信息

1.病毒名称：panda.exe
2.文件大小：30001 bytes
3.MD5值：512301C535C88255C9A252FDF70B7A03
4.SHA1值：CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870
5.CRC32：E334747C
病毒行为：
复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项

1.2 测试环境及工具

火绒剑、OD、IDA、MD5工具、Win7 Malware Defender

1.3 分析目标

恶意行为分析,病毒特征，并查杀

2．具体行为分析

2.1 主要行为

如果分析有错误，谢谢大家帮我指正

2.1.1 恶意程序对用户造成的危害

PE文件无法正常启动 系统资源被占用.

2.2 恶意代码分析

病毒第一次执行

进程动作

删除隐藏共享功能

火绒剑监测到的感染文件行为

网络通讯行为



PE文件感染代码分析

病毒会将EXE和其它想要感染的文件读进内存,在内存中把自身写入到源文件的头部，并在末尾追加了文件简略信息的字符串，类似感染标识
感染的文件有exe、scr、pif、com html
被感染文件对比：

上图是源文件头部和尾部
下图是感染后的文件头尾


尾部被加上了一些简略信息
HTML字符串解密

HTML感染前后对比
感染前

感染后

线程时钟感染和自我保护

1.添加启动项，修改注册表，添加特权，遍历杀软,结束任务管理器

从网站读取到网页源代码并且运行代码（目前已经失效…）

3.CMD命令删除共享服务

4.删除杀软注册表项 关闭防火墙服务

TCP端口建立与感染

病毒会对链接端口进行弱口令匹配 若成功则发动攻击

3．解决方案

3.1 提取病毒的特征，利用杀毒软件查杀

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

1、删除病毒文件C:\WINDOWS\system32\drivers\spo0lsv.exe并且遍历文件查找到母体并删除；
删除目录下INI文件 ,根据偏移恢复被感染文件格式.
清除病毒启动项
设置HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL 为1
恢复防火墙服务

参考文献

[1] 斯科尔斯基 哈尼克. 恶意代码分析实战. 电子工业出版社. 2014.
[2] 戚利. Windows PE权威指南. 机械工业出版社. 2011.
[2] 任晓珲 黑客免杀攻防 . 机械工业出版社. 2013.

[病毒分析]熊猫烧香相关推荐

1. [病毒分析]熊猫烧香（下）核心函数部分分析

   熊猫烧香(下)病毒释放过程 1.loc_408171 2.sub_403F8C子函数 3.sub_4060D4子函数 4.CopyFile和WinExe子函数 1.loc_408171 第一步 打开I ...

2. [病毒分析]熊猫烧香（中）病毒释放机理

   熊猫烧香(中)病毒释放机理 1.sub_40277C子函数 2.sub_405684子函数 3.sub_403ED4子函数 4.sub_4057A4子函数 5.分析sub_4057A4后续删除功能 6 ...

3. [病毒分析]熊猫烧香分析

   目录 1．样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 2．具体行为分析 2.1 主要行为 2.1.1 恶意程序对用户造成的危害 2.2 恶意代码分析 3．解决方案 3.1 提 ...

4. 新病毒仿熊猫烧香 利用 Vista系统漏洞疯狂传播

   3月31日,瑞星全球反病毒监测网截获一个与"熊猫烧香"非常相似的高危病毒,命名为"ANI蠕虫(Worm.DlOnlineGames.a)".该病毒不光传播和危害 ...

5. 对比勒索病毒和熊猫烧香，谈如何保证服务器端数据安全?

   勒索病毒中毒后画面 熊猫烧香中毒画面 传播方式比较: 和大部分病毒木马一样,都是先想方设法进入局域网,以前常见的方式是通过邮件或网页方式.病毒文件等传统传播方式传播进局域网,这次多了一个通过文件共享端 ...

6. YouTube博主实测病毒之王“熊猫烧香”，当年是它太强还是杀毒软件太弱？

   来源|大数据文摘 文|王烨 2007年,有一款电脑病毒席卷大江南北,无论是个人还是企事业单位,电脑纷纷中招,网络一度瘫痪. 这款病毒的特点是被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三 ...

7. 病毒丨熊猫烧香病毒分析

   作者丨黑蛋 一.病毒简介 病毒名称: 熊猫烧香 文件名称: 40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496 文件格式: ...

8. 小白学分析——熊猫烧香分析报告【附pdf】

   0x00 样本信息 名称:panda.exe 文件大小:60.50 KB (61952 bytes) 修改时间:2007.01.09 MD5:3520D3565273E41C9EEB04675D05D ...

9. IDA分析-熊猫烧香

   转载自CSDN博主「九阳道人」大神. 版权声明:本文为CSDN博主「九阳道人」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明. 原文链接:https://blog.c ...

最新文章

1. Android实战技巧之三十七：图片的Base64编解码
2. Sql 将多个表查询的结果进行再次查询
3. c#图片base64去转义字符_C#实现字符串与图片的Base64编码转换操作示例
4. 动画性能优化－requestAnimationFrame、GPU等
5. word List37
6. 可以用什么代替平面镜
7. Redux从设计到源码
8. mysql 备份 一张表_mysql 备份表的一个方法
9. (计算机组成原理)第一章计算机系统概述-第四节：计算机的性能指标
10. java中对象输入流和输出流
11. 从单体架构迁移到微服务，8个关键的思考、实践和经验
12. 向pandas DataFrame添加一行
13. Mac 不能进入睡眠模式，如何修复?
14. PHP人民币金额数字转中文大写的函数
15. mysql 32位_MySQL8下载 MySQL 8 for windows 32位 v8.0.18 官方免费正式版 下载-脚本之家
16. java中math中的指数是,java指数运算math
17. bilibili自动上传视频脚本（纯ruby）
18. 关于RuntimeError: Cannot re-initialize CUDA in forked subprocess和CUDA error: initialization error的解决
19. ultravnc服务器不接收消息,远程控制软件UltraVNC的教程
20. bootstrap中使用日历控件

热门文章

1. 【经验】VMware｜windows更新20H2版本后VMware虚拟机无法开启（禁用Device guard）
2. SQL注入攻击的原理、分类和防御方法
3. pytorch中的contiguous
4. 【Docker】fuse: device not found, try ‘modprobe fuse‘ first
5. GaussDB ETCD 服务异常实例分析处理的5种方法
6. python变量及数据类型
7. Python数据可视化——散点图
8. java 连接多实例_Java如何连接多实例SQL Server？
9. androidnbsp;关机闹钟
10. 计算机图形学绪论：感知、光、颜色和数学