网安组熊猫烧香病毒分析

使用PEID进行查壳和语言分析

  • 该病毒无壳,可继续进行分析
  • 该病毒子系统为Win32 GUI 猜测可能有图形界面
  • 该病毒使用的语言为Borland Delphi 6.0 - 7.0,在静态调试时可加载相对应的签名

使用LordPE分析panda.vir文件头

  • 主要分析该执行文件的资源目录和导入导出表
  • 发现资源目录下为一些字符串声明和图片
  • 导出表中没有数据
  • 从导入表中整理出的调用的API接口如下
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    文件操作:
    CreateFileA
    DeleteFileA
    CopyFileA //病毒可能进行自我拷贝
    WriteFile
    ReadFile
    FindNextFileA //病毒在感染的过程中可能会遍历文件夹

    网络操作:
    socket
    connect
    closesocket
    InternetReadFile
    InternetOpenUrlA
    URLDownloadToFileA //病毒会进行联网下载

    进程与线程操作:
    //病毒涉及到进程与线程的操作
    GetCurrentThreadId
    GetThreadLocale
    CreateThread

    注册表操作:
    //病毒会对注册表进行增删改查
    RegSetValueExA
    RegOpenKeyExA
    RegDeleteValueA
    RegCreateKeyExA

    其他操作:
    //病毒可能调用计时器来进行某些操作
    GetLocalTime
    SetTimer

使用IDR获取敏感字符串信息

  • 部分敏感字符串整理如下
    1
    2
    3
    4
    5
    6
    7
    8
    9
    ' 感染过,跳过!' //验证了之前的猜想,该病毒的确进行了文件夹扫描进行感染

    '\\Desktop_.ini 没有找到,建立一个!' //该病毒会在桌面新建Desktop_.ini文件,暂时不知道用处

    'fuckyou' //病毒作者很是暴躁

    '***武*汉*男*生*感*染*下*载*者***' //病毒作者是武汉人

    '防火墙' '杀毒' '杀毒' '瑞星' //该病毒对防火墙和一些杀毒软件进行了操作

使用火绒剑模拟运行

执行监控

  • 进行了进程启动和模块加载

文件监控

  • 似乎在所有的文件夹下都新建了一个Desktop_.ini
  • 修改了很多文件的属性

注册表监控

  • 不用想肯定是修改了很多注册表项以及自己

进程监控

  • 主要动作为打开设备和查看窗口以及枚举进程

网络监控

  • 发现该病毒对局域网内139和445的很多端口都进行了网络连接
  • 查看资料后发现139和445端口用于局域网内共享文件,可以判断是该病毒在尝试在局域网内传播

行为监控

  • 火绒剑自动识别出了一些行为,可能已经包含了上述几个方面的内容
  • 病毒感染了C盘中的很多exe文件
  • 病毒对感染的文件进行覆写,将自己复制到这些可执行文件中
  • 病毒大量修改了注册表
  • 病毒释放了所有的Desktop_.ini隐藏文件使其可见(但发现还是看不到啊)
    • 重新查看文件监控中的修改文件属性,发现每隔一段时间(呼应之前看到的计时器)都会修改一次Desktop_.ini的文件属性,猜测是又将其改成不可见

观察病毒的行为

  • 熊猫烧香将所有的exe文件覆写为它本身,当你执行一次后会生成一个xxx.exe.exe文件,再执行一次这个文件后两个exe文都会被删除,不给人一点分析的机会,有点狠

至此我们大致分析了熊猫烧香的行为,下一阶段即是对熊猫烧香的源码进行细致的分析