1．样本概况

1.1 应用程序信息

文件: C:\Windows\System32\drivers\spo0lsv.exe

大小: 30001 bytes

修改时间: 2007年1月17日, 12:18:40

MD5: 512301C535C88255C9A252FDF70B7A03

SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32: E334747C

简单功能介绍：

\1. 自启动

\2. 删除gho文件

扫描二维码关注公众号，回复： 7539246 查看本文章

\3. 全盘感染指定类型文件

\4. 局域网传播

\5. 从网络下载其他恶意文件执行

\6. 删除安全管理软件服务、启动项

\7. 其他

说明: 该样本是熊猫烧香的一个变种spo0lsv.exe，高危险级别

1.2 分析环境及工具

系统环境:windows 7 32bit

工具：火绒剑、PcHunter、IDA、OllyDebug

1.3 分析目标

使用火绒剑进行行为分析，结果如下：

\1. 文件操作

图 1 - 1

分析：在各敏感路径创建了spo0lsv.exe、setup.exe、autorun.inf、Desktop_.ini等文件并写入了内容。其作用暂时不明，待后面具体分析。

\2. 注册表操作

图 1 - 2

分析：注册表操作很多，能只管看出的是在启动项下创建了新的键值，以及设置了隐藏属性。

\3. 网络操作

图 1 - 3

分析：网络操作也有很多，能看到尝试连接了很多当前局域网内的其他主机，并连接了一些网站

\4. 进程操作

图 1 - 4

分析：主要操作重复关闭开启了spo0lsv.exe

\5. 执行监控

图 1 - 5

分析:执行了很多次命令，包含删除C盘网络共享等

\6. 其他行为

图 1 - 6

分析：提取了文件于C:Windows\System32\drivers\spo0lsv.exe,在不同文件夹创建了很多Desktop_.ini文件，等等。

2．具体分析过程

2.1 主函数

图 2 - 1

分析：前面使用了“xboy”、“whboy”来进行解密，并进行比对，比对成功就开始逐个调用sub_40819c、sub_40d18c、sub_40d088三个函数，接下来我们详细分析这三个函数

2.2 分析sub_40819c

2.2.1 检测Desktop_.ini文件

图 2 - 2

分析(序号对应图片里的标号)：

\1. 获取当前文件的绝对路径(包含当前文件名)

\2. 根据当前获得的文件路径(包含当前文件名)文件名称提取文件所在目录

\3. 拼接文件路径：当前文件所在目录 + “Desktop_.ini”

\4. 检测拼接的文件是否存在

2.2.2 存在Desktop_.ini文件则删除

图 2 - 3

分析：(前面还有文件属性的设置等小细节)

\1. 再次组合目标文件Desktop_.ini的路径

\2. 删除文件

2.2.3 读取当前文件检测是否是被感染者

图 2 - 4

分析:

\1. 读取指定文件(当前文件)

\2. 获取长度

\3. 判断文件长度是否小于等于0

\4. 判断末尾是否是‘\0’即空字符

\5. 如果不是空字符，就往前拷贝一个字节(ebx是下标)

\6. 判断用来存储末尾字符串的是否为空，标识是病毒还是被感染者

注:

读取文件内容的函数分析如图 2-5所示：

图 2 - 5

2.2.4 若当前文件是病毒

分为两种情况：

情况1：当前是非System32\drivers中的病毒，分析如下图

图 2 - 6

分析：

1．打开spo0lsv.exe句柄并结束进程

2．组合system32路径 + “drivers\” + “spo0lsv.exe”作为新文件路径

3．调用CopyFileA()复制当前文件到新拼接的文件名中

4．执行新拷贝的system32\drivers\spo0lsv.exe文件，并结束自身进程，非system32\drivers文件夹下的spo0lsv.exe到此执行完毕，程序结束

注:

终止进程的代码分析如图 2-7所示：

图 2 - 7

情况2：当前是System32\drivers 中的病毒

不做其他操作，当前部分结束

2.2.5 若当前文件是被感染者

\1. 删除末尾标识字符串

图 2 - 8

\2. 提取感染标识字符串中的信息

图 2 - 9

分析：

\1. 删除“whboy”字符串，提取带有双.exe后缀的原文件名称

\2. 提取原文件大小

\3. 提取并创建宿主PE文件

图 2 - 10

分析：

\1. 以Rewrite()创建并打开一个新文件，或覆盖已存在的文件

\2. 根据长度信息，从已读数据中提取原PE文件的数据

\3. 刷新写入缓冲区到外部文件，确保前面的操作写入成功

\4. 创建并执行批处理文件

批处理文件，创建在User\AppData\Local\Temp文件夹中，名称是一个随机数+“$$.bat”

批处理程序样本如下：

图 2 - 11

分析：

循环等待删除成功，因为程序正在运行，所以一开始删除失败；将新创建的程序重命名为单.exe后缀；最后删除bat文件自生。

\5. 遍历进程，查看spo0lsv.exe是否在运行

图 2 - 12

分析：

\1. 创建进程快照

\2. 获取第一个进程信息

\3. 比较进程名时候是“spo0lsv.exe”

\4. 获取下一个进程信息

注：

当遍历到“spo0lsv.exe”的时候就停止遍历，并返回状态码1，代表正在运行。

\6. 如果没有运行就删除然后重新创建并写入新病毒程序

图 2 - 13

分析：

\1. 设置源文件为普通文件

\2. 拼接文件路径

\3. 删除System32\drivers\spo0lsv.exe文件

图 2 - 14

分析：

\1. 提取病毒文件内容，前面还有几句，由于屏幕限制没有截完全，有兴趣的可以根据地址查找

\2. 拼接文件路径System32\drivers\spo0lsv.exe

\3. 将本文件提取出的病毒块写入System32\drivers\spo0lsv.exe文件，并执行

2.3 分析sub_40d18c

点击进入该函数后又出现了3个函数：sub_40A5B0、sub_40C374、sub_40BACC，接下来分别对其进行详细的分析。

2.3.1 分析 sub_40A5B0 感染

一个开启线程的函数，线程回调函数是sub_40A48c。主要作用是创建、维护每个文件夹下面的Desktop.ini文件以及感染指定类型的文件，以及删除gho文件。

点击进入该线程回调函数展开分析：

\1. 遍历盘符，存储存在的盘符

图 2 - 15

分析：

\1. 使用一个个字母 + “:\”组合成根路径使用GetDriveTypeA()获取盘的类型

\2. 将固定硬盘、网络盘的盘符存储起来

\3. 控制是26次循环，对应26个字母

\2. 排除A、B盘符，对其他盘符拼接“:\”作为参数，调用sub_0x409348,进行全盘遍历感染

对sub_0x409348进行分析：

a) 进行文件遍历，并判断文件是否是文件夹以及文件名是否是’.’

图 2 - 16

分析：

\1. 获取第一个文件

\2. 判断文件的类型是否是文件夹以及文件名是否是“.”

b) 如果是文件夹

首先排除系统相关的文件夹，比如下图中的WINDOWS、WINNT、SYSTEM32等等文件夹。

图 2 - 17

然后检查当前文件夹是否Desktop_.ini文件

图 2 - 18

如果已经存在Desktop_.ini文件就检查内容，是否是最新的，如果不是就更新。

如果不存在Desktop_.ini文件就创建并写入当前的日期：

图 2 - 19

分析:

\1. 组合文件全路径(文件目录+文件名)

\2. 获取本地时间，并准换成Long型

\3. 再次拼接路径

\4. 把文件路径和日期作为参数传入ShowSQLWindow()函数，创建文件并写入内容(日期)

注:

ShowSQLWindow()其显示是一个库函数，但是查不到，就点进去分析了一下，是使用CreateFile()和WriteFile()两个函数创建文件和写入文件。

c) 如果不是文件夹

- 判断是否是gho文件，如果是就删除

- 判断是否是setup.exe\NTDETECT.COM文件，如果是就跳过

由于刚才这几部很简单就不用贴代码赘述了，接下来是感染文件，感染的类型有exe、rsc、htm、html、asp、aspx、php等，我们详细分析其中的感染EXE文件 sub_407F00：

First. 遍历进程，观察当前exe是否在运行

图 2 - 20

Second. 排除自身

图 2 - 21

Third. 读取文件内容

图 2 - 22

Fourth. 观察特诊“whboy”确定是否被感染

图 2 - 23

Fifth. 如果未被感染，开始感染序幕(把自己拷贝一份过去)

图 2 - 24

Sixth. 追加原PE + 感染标识字符串

图 2 - 25

分析:

\1. 生成标识字符串”whboy”+程序名.exe+\2+长度+\1

\2. 以追加的方式打开文件

\3. 把源文件内容追加到病毒文件末尾

\4. 把感染标识字符串吹加到文件末尾

\5. 关闭文件

d) 其他文件的感染就不一一赘述了

2.3.2 分析 sub_40C374 维护

点击进去可以发现这是一个定时器，定时器回调函数sub_40BE7C，然后再深入这个定时器函数里面，你会发现逻辑非常简单，就是创建\维护setup.exe、autorun.inf两个文件。

详细分析如下：

\1. 遍历盘符（前面分析过此处略过）

\2. 排除A、B盘循环检测每个盘下是否有setup.exe

图 2 - 26

\3. Setup.exe不存在就创建，如果存在就检查是否被修改，若被修改就删除当前setup.exe创建新的。

这里分析较为复杂的已存在情况：

图 2 - 27

分析：

\1. 删除已存在文件

\2. 拼接新文件名

\3. CopyFileA()复制当前文件到新文件

\4. 判断autorun.inf存在与否，存在或不存在的情况和setup.exe的处理方法一致。

图 2 - 28

图 2 - 29

分析:

\1. 删除已存在的autorun.inf

\2. 创建文件autorun.inf

\3. 写入autorun.inf脚本内容

\4. 关闭文件

注:

这里的autorun.inf脚本内容如下，功能就是启动setup.exe病毒

图 2 - 30

2.3.3 分析 sub_40BACC 局域网传播

细心地点发现这个函数传入了一个参数0Ah，是用来标识将要创建线程个数的，这个函数功能是创建10个子线程来尝试使用弱口令连接当前局域网中的其他主机。

里面首先线程回调函数是sub_40BA8C,点进去是loc_40B864，接下来我们详细分析loc_40B864函数。

\1. 首先循环获取当前网络状态

图 2 - 31

分析:

调用InternetGetConnectedState()函数获取当前的网络是否有连接

\2. 生成随机当前网络IP

分析:

这里的sub_40B520(我取得别名randomLocAreaNetIP)值得重点分析，主要功能是根据当前的IP生成一个当前网络中的随机IP，分析如下图:

a) 首先调用了sub_40A734，主要功能是调用GetHostName()获取当前主机名，再调用GetHostByName()根据主机名获取IP

图 2 - 32

分析:

\1. 调用WSADtartup()初始化网络环境

\2. 调用gethostname()获取主机名，再调用gethostbyname()根据前面的主机名获取IP地址

\3. 调用inet_ntoa()把网络序二进制IP转换成点分十进制的IP地址

\4. 清理关闭网络环境

b) 提取IP的每个部分

分析:

\1. 获取IP的总长度

\2. 根据 ‘.’的位置，提取IP的第一部分，并转换成LONG整型，通过ebx+4以供后面调用

注:

这里我只描述了IP的第一个部分的提取，第二、三部分的提取都一样就不一一赘述了。

c) 随机生成主机ID号

分析;

生成一个0~255的随机数作为主机ID

d) 组合一个当前局域网的IP

分析：

结合的IP个前三部分加上后面随机生成的主机ID，组合拼装出新的IP

\3. 尝试连接随机IP的139端口、445端口

图 2 - 33

分析：

连接139端口，connect()返回值0代表成功。

图 2 - 34

分析：

连接445端口，connect()返回0代表成功。

a) 如果端口连接成功，调用sub_40B40c，这是局域网传播的核心部分,分析sub_40B40c如下

i. 获取系统版本信息

图 2 - 35

分析:

调用GetVersionExA()函数获取系统信息。DetectIsWin32_是重命名的函数名，原是sub_40A7F4里面就是调用GetVersionExA()很简单，就是判断是否是win32平台，是就返回-1，不是就返回0。

ii. 尝试进行弱口令连接

图 2 - 36

分析：

\1. 使用弱口令进行网络资源连接

\2. 连接成功调用sub_40A928，复制当前病毒文件到网络共享文件夹

\3. 关闭网络资源连接

- 分析sub_40A928

n 共享文件夹下复制病毒名为GameSetup.exe

图 2 - 37

分析:

\1. 生成当前共享的是否是目录

\2. 如果是目录则拼接该目录下GameSetup.exe的全路径

\3. 拷贝病毒数据自身于该文件夹下的GameSetup.exe

n 如果有admin$共享就遍历感染全盘

分析：

判断是否有admin$ 共享
拼接网络资源路径
开始全盘遍历感染(此函数我们前面分析过，这里就略过了)

2.4 分析sub_40d088

6个定时器，主要功能是使用注册表启动项、隐藏属性、QQ代理下载恶意程序并运行、连接网站下载资源等，挨个分析定时器回调函数sub_40CEE4、sub_40D040、sub_40D048、sub_407430、sub_40CC4C、sub_40C728。

2.4.1 分析sub_40CEE4 提权、关闭窗口、关闭进程、自启动、隐藏属性

提权(具体代码在sub_406E2C中的线程回调函数sub_4061B8中的sub_406108)

分析:

获取当前的权限
修改(提升)当前的权限
遍历窗口，关闭防火墙、进程、VirusScan等窗口

分析：

遍历窗口
获取窗口名
比对是否是目标窗口名
如果是目标窗口名就发送12h –WM_QUIT消息然窗口退出

注：

比对了很多窗口，这里只列出了防火墙，其他都一样就不一一赘述了。

关闭任务栏窗口

分析：

通过类名找到任务窗口的窗口

关闭窗口名为” pjf(ustc)”的窗口

注：

可以发现还模仿了很多键盘事件来关闭

关闭进程

分析：

通过前面分析过的一个函数，打开很多指定进程名的句柄并调用TerminateProcess()来结束进程。

添加启动项、指定隐藏属性

分析：

直接调用两个简单的注册表操作函数，修改了注册表添加了病毒为自启动，隐藏属性打开。

2.4.2 分析 sub_40D040 QQ代理下载恶意程序并运行

分析sub_40CC34

这还是一个线程函数，回调函数为sub_40C9B0，分析sub_40C9B0函数

从指定网页上下载文件中的链接

分析：

解码指定的字符串得出相关链接
使用QQ代理下载该链接中的内容并返回到eax内指针指向的缓冲区

注：

使用QQ代理的函数分析：

设置QQ为代理程序

通过代理下载、并将数据返回

分析：

创建下载句柄
读取刚才下载句柄中的数据
将数据通过eax返回
下载链接中的文件并执行

分析：

获取链接中的文件名称

下载文件

拷贝下载的数据

拼接文件路径并执行

2.4.3 分析 sub_40D048 关闭C盘共享

该函数有开启了两个线程，线程回调函数分别是sub_40CC34、sub_40CDEC，sub_40CC34的主要功能是使用QQ代理下载一批链接，再这些链接指向的恶意软件到Windows文件夹下面运行起来。

分析 sub_40CC34 和前面的QQ代理下载一致就不再分析了略过

分析 sub_40CDEC 关闭C盘网络共享

分析：

遍历盘符

a) "cmd.exe /c net share 盘符$ /del /y"
b) "cmd.exe /c net share admin$ /del /y" 删除网络共享

2.4.4 分析 sub_407430 关闭安全相关

开启线程关闭安全相关的服务，线程回调函数是sub_406E44。

分析 sub_406E44函数：

分析：

很直白的调用函数关闭安全相关的服务、删除注册表键值等

2.4.5 分析 sub_40CC4C 使用QQ代理下载指定链接数据

前面分析过，此处略过

2.4.6 分析 sub_40C728 使用QQ代理下载恶意程序并执行