使用PEID进行查壳和语言分析
- 该病毒无壳,可继续进行分析
- 该病毒子系统为Win32 GUI 猜测可能有图形界面
- 该病毒使用的语言为Borland Delphi 6.0 - 7.0,在静态调试时可加载相对应的签名
使用LordPE分析panda.vir文件头
- 主要分析该执行文件的资源目录和导入导出表
- 发现资源目录下为一些字符串声明和图片
- 导出表中没有数据
- 从导入表中整理出的调用的API接口如下
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33文件操作:
CreateFileA
DeleteFileA
CopyFileA //病毒可能进行自我拷贝
WriteFile
ReadFile
FindNextFileA //病毒在感染的过程中可能会遍历文件夹
网络操作:
socket
connect
closesocket
InternetReadFile
InternetOpenUrlA
URLDownloadToFileA //病毒会进行联网下载
进程与线程操作:
//病毒涉及到进程与线程的操作
GetCurrentThreadId
GetThreadLocale
CreateThread
注册表操作:
//病毒会对注册表进行增删改查
RegSetValueExA
RegOpenKeyExA
RegDeleteValueA
RegCreateKeyExA
其他操作:
//病毒可能调用计时器来进行某些操作
GetLocalTime
SetTimer
使用IDR获取敏感字符串信息
- 部分敏感字符串整理如下
1
2
3
4
5
6
7
8
9' 感染过,跳过!' //验证了之前的猜想,该病毒的确进行了文件夹扫描进行感染
'\\Desktop_.ini 没有找到,建立一个!' //该病毒会在桌面新建Desktop_.ini文件,暂时不知道用处
'fuckyou' //病毒作者很是暴躁
'***武*汉*男*生*感*染*下*载*者***' //病毒作者是武汉人
'防火墙' '杀毒' '杀毒' '瑞星' //该病毒对防火墙和一些杀毒软件进行了操作
使用火绒剑模拟运行
执行监控
- 进行了进程启动和模块加载
文件监控
- 似乎在所有的文件夹下都新建了一个Desktop_.ini
- 修改了很多文件的属性
注册表监控
- 不用想肯定是修改了很多注册表项以及自己
进程监控
- 主要动作为打开设备和查看窗口以及枚举进程
网络监控
- 发现该病毒对局域网内139和445的很多端口都进行了网络连接
- 查看资料后发现139和445端口用于局域网内共享文件,可以判断是该病毒在尝试在局域网内传播
行为监控
- 火绒剑自动识别出了一些行为,可能已经包含了上述几个方面的内容
- 病毒感染了C盘中的很多exe文件
- 病毒对感染的文件进行覆写,将自己复制到这些可执行文件中
- 病毒大量修改了注册表
- 病毒释放了所有的Desktop_.ini隐藏文件使其可见(但发现还是看不到啊)
- 重新查看文件监控中的修改文件属性,发现每隔一段时间(呼应之前看到的计时器)都会修改一次Desktop_.ini的文件属性,猜测是又将其改成不可见
观察病毒的行为
- 熊猫烧香将所有的exe文件覆写为它本身,当你执行一次后会生成一个xxx.exe.exe文件,再执行一次这个文件后两个exe文都会被删除,不给人一点分析的机会,有点狠
至此我们大致分析了熊猫烧香的行为,下一阶段即是对熊猫烧香的源码进行细致的分析