熊貓燒香分析報告

 

 

分析報告

 

樣本名	熊貓燒香
版本	原版
時間	2018-03-18
平臺	Windows 7-32位

 

信息安全研究(病毒分析報告)

目錄

1．樣本概況... 2

1.1 樣本信息... 2

1.2 測試環境及工具... 3

1.3 分析目標... 3

1.4 提取樣本... 3

1.4.1查殼... 3

1.4.2 具體提取步驟... 3

1.4.3 提取樣本... 4

2．具體行爲分析... 5

2.1 主要行爲... 5

2.2 分析狀況總結：... 10

2.3 詳細分析... 11

3．解決方案... 25

3.1 手工查殺步驟或是工具查殺步驟或是查殺思路等。... 25

1．樣本概況

1.1 樣本信息

病毒名稱：   熊貓燒香

所屬家族：   感染性病毒（Virus) /蠕蟲病毒(Worm) 

大小:             30001 bytes

MD5值：       512301C535C88255C9A252FDF70B7A03

SHA1值：     CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32：      E334747C

病毒行爲：   複製自身、感染PE文件、覆寫PE文件、修改註冊表自啓動、枚舉進程、結束殺軟進程、刪除安全軟件相關啓動項

 

1.2 測試環境及工具

Win7 32位、OD/IDA/x64DBG/火絨劍/ExeiofoPE/

1.3 分析目標

分析病毒永久駐留方式，感染的方式，網絡鏈接，病毒的惡意行爲

1.4 提取樣本

1.4.1查殼

 

Exeinfo 可查是該程序是FSG殼，FSG是壓縮殼，稍後對它進行手動脫殼

1.4.2 具體提取步驟

使用APK工具（PC-Hunter）查看可疑進程

查看啓動項(註冊表，計劃任務等)

查看驅動模塊，服務未發現可疑項

查看一下其餘的雜項，網絡鏈接等

使用抓包工具（WSExplorer）查看可疑流量

 

1.4.3 提取樣本

從上面啓動項能夠看到，病毒自我複製了一個文件到C:\Windows\System32\drivers目錄下

將它提取出來，重命名後綴爲vir，以供下一步具體分析。

 

2．具體行爲分析

這個環節的目標是分析樣本的行爲，儘量全面發現惡意行爲

方法概述：

獲取樣本後，使用監控工具（火絨劍）監控樣本的運行。

分析監控到的日誌，主要觀察的點有：

1， 文件操做，主要看文件建立、修改、刪除等操做

2， 註冊表操做，主要看註冊表設置、建立等操做

3， 進程操做，主要看建立進程，寫入內存等操做

4， 網絡操做，主要看網絡鏈接地址，IP等信息

5， 其餘行爲，以及本身觀察樣本虛擬機內運行後的反應

2.1 主要行爲

分析監控到的日誌

1. 文件操做，主要看文件建立，修改，刪除等操做，設置監控的行爲（動做）,只查看文件操做的關鍵行爲：

 

將樣本vir文件直接拖進火絨劍內：

 

能夠發現樣本建立了一些文件，觀察文件，有一些文件與樣本大小一致，猜想是複製的樣本，感染了不少exe文件

2. 註冊表過濾，主要看註冊表設置，建立等：

3. 進程操做，主要看建立進程，寫入內存操做，對監控工具進行過濾：

 

查看過濾後的結果：

 

4. 網絡操做，主要看網絡連接地址，IP等信息，首先對監控工具進行過濾設置：

 

5. 其餘行爲，人肉看樣本運行後的反應，其餘行爲，人肉看樣本運行後的反應

查看結果，發現樣本擦混改建了許多Desktop_ini文件，感染了許多exe,並且exe 的圖標已經變成了熊貓燒香

 

設置監控工具，只查看執行監控，能夠發現cmd進程的建立：

 

2.2 分析狀況總結：

分析監控的日誌以及人肉以後，能夠分析出樣本的惡意行爲：

1. 自我複製樣本到C盤：C:\Windows\System32目錄下，

啓動C:\Windows\System32\drivers\spo01.exe（即樣本）

1. 在每個目錄下建立了一個Dosktop_.ini，裏面是當前日期
2. 在C盤根目錄下建立了autorun.inf文件，裏面指定了自動啓動的文件爲根目錄下的setup.exe(即樣本)
3. 對程序目錄下的exe進行了感染，圖標變爲熊貓燒香，打開exe時，自動打開病毒
4. 設置註冊表啓動項爲：C:/Windows/driver/spo01sv.exe
5. 設置註冊表鍵值，隱藏文件不顯示
6. 本身建立了一個註冊表的項，在其中寫入了不少信息
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\spo01sv_RASAPI32
7. 枚舉進程，查找窗口，打開設備
8. 鏈接局域網的一些地址，訪問外面的一些網址

10. 使用cmd命令關閉了網絡共享

2.3 詳細分析

經過以上分析能夠知道惡意代碼的一些惡意行爲，想要獲取更加詳細的行爲須要使用IDA或是OD分析樣本

詳細分析過程：

上面用Exeinfo查看到此程序是FSG2.0的壓縮殼，如下進行手動脫殼：

單步運行到0x00401D1,此處jmp 的就是OEP，F7單步步入，在此處dump程序，而後修復IAT便可。

 

脫過殼後的程序使用Peid深度掃描能夠識別出程序是使用delphi編譯的：

 

導入簽名後，採用OD/Ida,動靜結合的方法分析惡意代碼;

先使用IDA的F5快捷鍵查看下僞c代碼，先對此程序有一個大約的框架。

根據僞C代碼,能夠發現OEP函數一開始全是初始化變量，調用的第一個函數sub_405250,參數中有字符串「xboy」，而另外一次調用中，參數有字符串「whboy」，在調用sub_405250函數後，有LStrCmp字符串比較函數的調用，以後就是判斷返回值的代碼，能夠猜想函數sub_405250應該是解密字符串函數。

剩下的三個sub_xxx開頭的函數應該是惡意代碼函數，在這個代碼的末尾有一個消息循環，猜想是等待惡意代碼執行完畢後，函數才退出（稍後再OD中驗證此推測）。

因此OEP函數能夠分爲四部分：

 

動態跟蹤驗證對sub_405250函數的猜想，發現堆棧中解密字符串，跟蹤調用完函數以後，LStrCmp函數的參數是解密的字符串與全局變量字符串：

 

由此能夠肯定sub_405250函數確實是一個解密字符串函數：

 

在IDA中對sub_405250函數名進行修改：

 

而後分析剩下的幾個執行惡意代碼的函數：

 

sub_40819c函數分析：

複製了本身到系統驅動目錄下，而後

 

sub_40D18C函數分析：

 

sub_40A5B0:

在回調函數內分析，此函數在遍歷目錄，並在感染後的文件夾內建立標記文件Desktop.ini

 

若是文件是GHO（備份），則將其刪除：

 

Sub_40C374:

 

進入回調函數查看：

 

第三個函數sub_40D088:

這個函數中建立線程，進行網絡鏈接：

調用了6個定時器: 

 

第一個定時器（一秒觸發一次）：

 

設置了文件隱藏屬性：

OpenProcessToken獲取訪問令牌; 
利用LookupPrivilegeValueA能夠獲取本地惟一標識符(LUID) 
OpenProcessToke和LookupPrivilegeValueA獲取的信息被AdjustTokenPrivileges利用，進行提權: 

 

發現是在檢查是否有殺毒軟件,若是有,則讓其關閉 

 

均採用此方法分析可知：

第二個定時器（20分鐘觸發一次）：

從http://wangma.9966.org/down.txt網站讀取到網頁源代碼而且運行代碼

 

第三個定時器（10秒觸發一次）：

調用以下命令來刪除共享：

cmd.exe /c net share C$ /del /y

cmd.exe /c net share A$ /del /y

cmd.exe /c net share admin$ /del /y

 

第四個定時器（6秒觸發一次）：

 

第五個定時器（10秒觸發一次）：

打開解密以後的網頁：

 

第六個定時器（30分鐘觸發一次）：

又是在下載惡意代碼：

 

至此，分析基本結束。

3．解決方案

3.1 手工查殺步驟或是工具查殺步驟或是查殺思路等。

一、刪除【C:\Windows\System32\drivers\spcolsv.exe】文件

二、刪除【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer

sion\Run】鍵項的svcshare

三、刪除每一個盤符根目錄下生成兩個文件【autorun.inf和setup.exe】文件

四、設置【HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Advanced\Folder\Hidden\SHOWALL】，CheckedValue的鍵值設置爲1（顯示隱藏文件）