发布于2022年11月8日3年前 1.样本概况 1.1 样本信息 病毒名称:spo0lsv.exe(熊猫烧香) 所属家族:Worm MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32:E334747C 文件大小:30001bytes 壳信息:FSG 2.0 病毒行为:复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项 1.2 测试环境及工具 Win7、PEID、火绒剑、x64dbg、OD、IDA、010Editor、PCHunter、Hash 1.3 分析目标 分析病毒的恶意行为,通过恶意代码梳理感染逻辑,编写查杀修复工具。 2.具体行为分析 2.1 主要行为 病毒的主要行为分三部分: 第一部分(自我复制执行) 第二部分(感染部分) 第三部分(病毒自我保护) 2.1.1 恶意程序对用户造成的危害(图) 1、病毒复制自身到:C:\Windows\System32\drivers\spo0lsv.exe并启动 2、每个目录下创建Desktop_.ini文件,并隐藏; 3、每盘符根目录创建autorn.inf、setup.exe文件并隐藏,setup.exe设置为自启动; 4、感染后缀位exe scr pif com文件和后缀为htm html asp php jsp aspx文件; 5、设置注册表键值得,svcshare项设置自启动; 6、连接局域网中其他计算机; 2.2 恶意代码分析 2.1 病毒OEP代码执行过程分析 2.2 病毒释放和运行分析 2.3 病毒感染分析 2.3.1 全盘感染 删除.GHO文件 感染后缀位.exe .scr .pif .com文件 感染后缀为htm html asp php jsp aspx文件 2.3.2 定时器感染 2.3.2 局域网感染 2.4 病毒自我保护分析 2.4.1 定时器1回调函数sub_40CEE4 设置病毒自启动,设置无法开启显示隐藏文件; 2.4.2 定时器2回调函数sub_40D040 2.4.3 定时器3回调函数sub_40D048 2.4.4 定时器4回调函数sub_407430 2.4.5 定时器5回调函数sub_40CC4C 2.4.6 定时器6回调函数sub_40C728 3.解决方案(或总结) 3.1 提取病毒的特征,利用杀毒软件查杀 网络ip: 字符串:WhBoy 3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。 1、关闭spo0lsv.exe进程,删除C:\Windows\System32\drivers\spcolsv.exe 2、删除HKEY\Software\Microsoft\Window\CurrentVersion\Run中自启动项svcshare 3、显示隐藏文件,设置HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL中CheckedValue键值设置为1 4、删除每个盘符根目录中的autorun.inf和setup.exe及目录中的隐藏文件Desktop_.inii
创建帐户或登录后发表意见