第一次写博客,这个病毒挺经典的,拿来上手。
一、病毒信息
病毒名称:熊猫烧香
MD5: 3520d3565273e41c9eeb04675d05dca8
SHA-1: bb1d8fa7ee4e59844c1feb7b27a73f9b47d36a0a
SHA-256:e7d2753d55876f89967727e909d7bcbdf36653a8be2c5f9f57789fec4d4284ed
文件类型:Win32 EXE
文件大小:61952 bytes
主要行为:1.自我复制到系统目录下并运行;
2.添加自启;
3.隐藏文件和文件夹;
4.关闭杀毒软件的服务和自启功能;
6.感染exe文件;
7.感染局域网中的主机;
8.关闭网络共享;
9.下载远程数据;
10.定时执行恶意行为。
二、分析环境与工具
环境:Windows XP SP3 32位
工具:OllyDbg、IDA Pro、Process Monitor、PEView。
三、具体行为分析
病毒没有加壳,程序由delphi编写。
1.自我复制到C:\WINDOWS\system32\drivers目录下并以spcolsv.exe为名运行。
2.将病毒添加自启并设置“不显示隐藏的文件和文件夹”
3.停止杀毒软件的服务并关闭自启功能
4.在各个目录下创建了AUTOEXEC.BAT和Desktop.ini,autorun会自动运行setup.exe。
5.修改exe文件图标
6.通过139、445端口连接局域网中的主机。
7.运行命令关闭网络共享net share。
8.解密网址并下载。
9.在exe文件末尾添加WhBoy+原本文件名作为该文件被感染的标识。
10.设置计时器,分别每隔1秒、20分钟、10秒、6秒进行设置自启且不显示隐藏文件、解密网址、删除网络共享、终止杀毒软件服务。
四、解决方法
1.终止spcolsv.exe进程;
2.删除位于C:\Windows\System32\drivers的spcolsv.exe文件;
3.删除名为svshare的自启项;
4.将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL\CheckedValue键值更改为1;
5.删除各个路径下的AUTOEXEC.BAT、Desktop.ini;
6.打开网络共享;
7.去除exe文件末尾的感染标识、换回原图标;
8.恢复杀软的运行。
