• 大战皇家赌场新疆发现超大型铅锌矿 资源储量近1900万吨 2018-04-21
  • 澳门真人赌场开户网址香港亿万富豪郑裕彤逝世 2018-04-20
  • 澳门赌场好博彩安徽出台新规:出售个人隐私最高将被罚50万元 2018-04-20
  • 大发888赌场央行今日进行800亿逆回购 实现净回笼951亿 2018-04-19
  • 澳门赌场网站多特:中超确实想买奥巴梅扬 欢迎中国的顶级球员 2018-04-18
  • 澳门银河赌场易建联首秀3分钟2板湖人大胜国王 小野兽15+5 2018-04-18
  • 澳门赌场排名杨怡大婚收20支龙凤手镯 只能挂在脖子上 2018-04-17
  • 缅甸果敢赌场孙宏斌3天内两次出手 买下融科后又以40亿入股金科地产 2018-04-16
  • 澳门皇家赌场广水信息B站回应影视剧下架:因审查内容 合规者将恢复上线 2018-04-16
  • 威尼斯人高尔夫赌场陆毅:特别怕拍爱情戏 没什么恋爱经验 2018-04-15
  • 李亚鹏赌场玩牌高校辅导员晚点名新招 学生需传手持牙刷照片 2018-04-14
  • 开设赌场罪司法解释国家旅游局:十一长假首日民航旅客再创历史新高 2018-04-13
  • 赌场风云国语全集西媒列内马尔陷离队传闻5大原因:梅西+税务问题 2018-04-13
  • 澳门永利赌场A股困境:多市场抢食流动性 2018-04-12
  • 澳门赌场筹码韩国防部宣布萨德部署新址 不顾周边市民反对声 2018-04-12
  • 吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|澳门网上赌场 www.chengtianzy.com.cn

     找回密码
     注册[Register]

    QQ登录

    只需一步,快速开始

    查看: 12878|回复: 194
    上一主题 下一主题

    新加坡赌场广水信息: [PC样本分析] 0x1 小K学病毒分析之【熊猫烧香】

        [复制链接]
    跳转到指定楼层
    楼主
    发表于 2018-3-20 01:23 | 只看该作者 回帖奖励 |倒序浏览
    使用论坛附件上传样本压缩包时必须使用压缩密码?;?,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
    本帖最后由 myangel 于 2018-3-20 02:13 编辑

    目录
    0x1 样本信息        1
    0x2 分析工具和环境        2
    0x3 病毒分析        2
    3.1 自校验        2
    3.2 创建和运行部分        3
    3.3 感染部分        6
    3.4 自我?;げ糠?nbsp;       9
    0x4 病毒查杀和文件恢复        12
    0x5 总结        12

    0x1 样本信息


    0x2 分析工具和环境

    32位Win7 + PEID + OD + IDA

    0x3 病毒分析


    3.1 自校验

    病毒在启动之后,会经过两次加密字符串的解密,只有两次都成功才会真正进入核心功能。

    核心功能主要由三个函数进行实现,下面进行详细分析。

    3.2 创建和运行部分
    检测当前目录是否存在Desktop_.ini文件,如果存在则删除。
    接着,病毒会通过检查文件路径、病毒感染标志来确定进当前病毒属于以下三种情况的哪一种情况。
    分别进程本身属于原始病毒文件、被感染的可执行文件、以及伪装目标进程三种情况。

    1. 原始病毒文件

    拷贝自身到 ~/system32/driver/目录,重命名为spcolsv.exe并运行,然后结束当前进程。


    2. 被感染的可执行文件

    1)在当前目录释放被感染的原始文件
    2)创建自删除批处理,并运行
    3)拷贝病毒部分到到系统目录,伪装系统服务。


    3. 伪装目录进程文件

    退出当前???,执行接其他??楣δ?。

    需要注意的几点是:
    1. 病毒的感染标识

    感染PE文件后,会在文件的末尾写上标志,格式为:
    WhBoy+ 源文件名 + 0x2标记 + 源文件大小+0x1标记


    2. 自删除批处理文件


    3. 感染文件结构
    病毒文件 + 原始文件 + 标记字符串

    3.3 感染部分

    接下来就是扩散自身,感染其他文件或者感染其他主机,病毒会通过本地文件感染、U盘自动感染以及网络三种方式进行传播。同时,为了防止电脑用户对系统进行还原,在查找到.gho文件时,会对齐进行删除。
    3.3.1 感染文件部分(本地)
    创建一个线程,遍历所有的磁盘和文件,对文件进行感染。
    1)删除GHO备份

    2)感染PE文件
    感染目标文件后缀类型有:
    EXE、SCR、PIF、COM
    具体感染请参考感染后的文件格式。感染完毕后,会在当前目录中创建Desktop_.ini,并写入日期(年-月-日),当病毒二次扫描到该目录时,会对当前日期和文件内的日期进行比较,如果时同一天就不再感染当前目录了。


    3)感染web文件
    感染目标文件后缀类型有:
    Htm、html、asp、php、jsp、aspx
    在web文件最后加上一句,该内容在文件中是加密的,加密后在写入:



    3.3.2 磁盘传播
    通过SetTime,每间隔6s复制自身所有磁盘的根目录,重命名为setup.exe。然后写入autorun.inf,注意这两个文件都是隐藏了。



    3.3.3 网络传播
    利用弱密码通过139/445端口进行登陆。


    3.4 自我?;げ糠?/font>

    这部分通过设定4分不同时长的定时器进行,然后定时执行下面几种操作。


    3.4.1 杀进程和自启动
    1)遍历进程和窗口,关闭疑似杀毒软件的窗口和关闭特定杀毒软件或系统工具(间隔1秒)


    2)设定自启动和隐藏文件(每隔1秒)


    3.4.2 QQ木马(猜测)

    病毒会定时检查当前进程是否存在QQ(这部分猜的,偷懒了),如果存在则从服务器一个可执行文件并执行(具体是什么不清楚了,服务器早就没了,反正不是好东西,结合前面看到QQ的字符串,所以我直接跳过这部分,猜测是QQ盗号木马之类的)。


    3.4.3 关闭共享

    3.4.4 关闭杀毒软件的服务(每隔6s)
    关闭常见杀毒软件的服务,并删除杀毒软件的自启动项。(代码太长就不截图了)

    0x4 病毒查杀和文件恢复
    因为病毒会关闭杀软、任务管理器和注册表查看器等工具,所有会让人一开始无从下手,实际上杀死病毒进程非常容易,只需要两行命令。
    1) 打开控制台,通过tasklist和taskkill命令关闭spcolsv.exe进程,然后可以删除spcolsv.exe文件了。
    2) 关闭媒体自动播放,防止autorun启动病毒
    3) 打开查看隐藏文件选项,把磁盘根目录的隐藏文件删除
    4) 至于其他被感染的文件,由于病毒并没有破坏源文件,故可以通过简单编写小工具的方式来恢复被感染的文件。具体恢复思路请参考上面提及部分。

    0x5 总结

    这是我第一次进行病毒分析,所以挑了一个比较经典、简单的样本来做分析(没错,柿子挑软的来捏),^ _ ^。
    当然,这款病毒早已被人分析透了,我在这里写出来意义不大,仅用来给自己加油罢了。
    没有系统学习过这方面的知识,所以分析的流程和方法可能不对,希望知道的朋友们能够给点建议。
    接下来我会分析其他类型的病毒,希望大家喜欢,谢谢。

    最后吐槽一句,发帖排版好麻烦啊。。。。。


    panda.7z

    23.92 KB, 下载次数: 146, 下载积分: 吾爱币 -1 CB

    免费评分

    参与人数 85吾爱币 +82 热心值 +81 收起 理由
    mimiwuqi + 1 + 1 用心讨论,共获提升!
    fengyr + 1 谢谢@Thanks!
    未知了 + 1 + 1 用心讨论,共获提升!
    sxgcb + 1 + 1 用心讨论,共获提升!
    风逝998 + 2 + 1 我很赞同!
    mycrackk + 1 + 1 热心回复!
    好人家02 + 1 + 1 用心讨论,共获提升!
    Renn_Su + 1 + 1 用心讨论,共获提升!
    yufan1123 + 1 + 1 谢谢@Thanks!
    herolxm + 1 + 1 谢谢@Thanks!
    jnez112358 + 1 + 1 谢谢@Thanks!
    西风谷真名 + 1 + 1 虽然看不懂 但是肯定很牛逼
    bbn + 1 + 1 我很赞同!
    feimao100 + 1 + 1 我很赞同!
    Cherishao + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    jxscwu + 1 + 1 我很赞同!
    53cunD4 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    悠游独自在 + 1 + 1 谢谢@Thanks!
    ysmjaycn + 1 + 1 用心讨论,共获提升!
    骨科医生 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    shadoll + 1 + 1 用心讨论,共获提升!
    筱越技术支持 + 1 + 1 我很赞同!
    zzznb + 1 + 1 我很赞同!
    超人就是我1 + 1 + 1 热心回复!
    福仔 + 1 + 1 我很赞同!
    还好有时间 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    chkds + 1 + 1 很适合病毒分析入门啊,thanks
    windwli + 1 + 1 加油,挺 厉害 ,好的开始就是成功的三分之一
    阿西吧o + 1 + 1 我很赞同!
    SomnusXZY + 1 + 1 谢谢@Thanks!
    hulin0105 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    YCAPTAIN + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    52bob + 1 + 1 用心讨论,共获提升!
    sunbeat + 2 + 1 我很赞同!
    shuiyu + 1 我很赞同!
    叫我正义老哥 + 1 我很赞同!
    戏言19 + 1 + 1 谢谢@Thanks!
    samakueakuma + 1 用心讨论,共获提升!
    lsboy + 1 + 1 谢谢@Thanks!
    hgs1999313 + 1 + 1 虽然看不懂但是感觉好像很厉害的样子
    harygary + 1 + 1 谢谢@Thanks!
    Mmmmmmmorz + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    badapple + 1 + 1 我很赞同!
    Acalanatha + 1 + 1 用心讨论,共获提升!
    qq632032833 + 1 + 1 用心讨论,共获提升!
    cumcum + 1 + 1 谢谢@Thanks!
    半坡海 + 1 + 1 谢谢@Thanks!
    yuronghuakai + 1 + 1 热心回复!
    a3636326 + 1 + 1 用心讨论,共获提升!
    tztt3033 + 1 + 1 用心讨论,共获提升!
    艾爱姆Joker + 1 + 1 谢谢@Thanks!
    沙朗牛排 + 1 + 1 热心回复!
    gink + 1 + 1 我很赞同!
    zy1234 + 1 + 1 热心回复!
    shuaiqi + 1 + 1 鼓励转贴优秀软件安全工具和文档!
    hbsbzb + 1 + 1 哈哈,那时候看到一个小熊猫在桌面上还觉得多可爱
    JingAn湛蓝 + 1 学习下 ... 当时太厉害了
    leafwalk + 1 + 1 我很赞同!
    silvanevil + 1 + 1 谢谢@Thanks!
    拾柒丶 + 1 我很赞同!
    liphily + 2 + 1 防御永远比事后要简单和重要的多
    jinwei201 + 1 + 1 用心讨论,共获提升!
    siuhoapdou + 1 + 1 用心讨论,共获提升!
    钟欣桐 + 1 + 1 我很赞同!
    shanhuyi + 1 + 1 用心讨论,共获提升!
    zzzlucas + 1 + 1 用心讨论,共获提升!
    审判者压缩 + 1 + 1 热心回复!
    yuishang + 1 + 1 热心回复!
    429338728 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    zxw0557 + 1 + 1 用心讨论,共获提升!
    wushaominkk + 1 + 1 我很赞同!
    粉藍弟 + 1 + 1 热心回复!
    朱小强007 + 1 用心讨论,共获提升!
    WYWZ + 1 + 1 本来想附上病毒作者的微博,想想还是算了,毕竟都过去10多年了
    123gh + 1 热心回复!
    lookerJ + 1 + 1 热心回复!
    qiangu2018 + 1 + 1 我很赞同!
    夏雨微凉 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    Ouyang520 + 1 + 1 用心讨论,共获提升!
    一牛神一 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    luoligongzhu233 + 1 + 1 谢谢@Thanks!
    466 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    草薙素紫 + 1 + 1 我很赞同!
    UniqueLegend + 1 + 1 用心讨论,共获提升!
    610100 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

    查看全部评分

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    推荐
    发表于 2018-3-20 08:04 | 只看该作者
    在当时 这病毒多牛啊,过了N年拿过来,分析,有意思吗?

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    推荐
    发表于 2018-3-23 16:25 来自手机 | 只看该作者
    122166966 发表于 2018-3-20 08:04
    在当时 这病毒多牛啊,过了N年拿过来,分析,有意思吗?

    分析的很好,再说楼主第一次做分析,已经很厉害了,不知道评论区某人会不会说话?还说这么多年过去了,分析有意思吗?来,来来,键盘给你,你给我分析!

    免费评分

    参与人数 5吾爱币 +5 热心值 +5 收起 理由
    UserXCH + 1 + 1 我很赞同!
    一只硕鼠 + 1 + 1 热心回复!
    格局 + 1 + 1 我很赞同!
    luxiangfei + 1 + 1 我很赞同!
    Xsec + 1 + 1 我很赞同!

    查看全部评分

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    板凳
    发表于 2018-3-20 01:38 | 只看该作者

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    报纸
     楼主| 发表于 2018-3-20 01:41 | 只看该作者 |楼主
    Godfather.Cr 发表于 2018-3-20 01:38
    从哪儿搬运的?图片都盗链了

    我先在看雪发的帖,然直接复制过来的。
    第一次在吾爱发帖,以为这样可以,我再整理以下吧。。

    点评

    嗯,整理图片上传自己排列一下吧 现在基本的站点都有防盗链,不能直接复制  详情 回复 发表于 2018-3-20 01:43

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    地板
    发表于 2018-3-20 01:43 | 只看该作者
    myangel 发表于 2018-3-20 01:41
    我先在看雪发的帖,然直接复制过来的。
    第一次在吾爱发帖,以为这样可以,我再整理以下吧。。

    嗯,整理图片上传自己排列一下吧
    现在基本的站点都有防盗链,不能直接复制

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    7#
    发表于 2018-3-20 02:27 | 只看该作者
    变种金猪报喜了吧

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    8#
    发表于 2018-3-20 03:48 来自手机 | 只看该作者
    很好的分析!

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    9#
    发表于 2018-3-20 05:38 | 只看该作者
    楼主分析的很详细啊

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    10#
    发表于 2018-3-20 07:10 | 只看该作者
    不错的帖子,分析的好详细

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    11#
    发表于 2018-3-20 07:27 | 只看该作者
    顶贴,熊猫烧香啊

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    12#
    发表于 2018-3-20 07:46 | 只看该作者
    分析的很好,思路很清晰,感谢分享

    发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

    如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

    如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

    您需要登录后才可以回帖 登录 | 注册[Register]

    本版积分规则


    免责声明:
    吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

    Mail To:Service@www.chengtianzy.com.cn

    快速回复 收藏帖子 返回列表 搜索

    RSS订阅|手机版|小黑屋|联系我们|澳门网上赌场 ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

    GMT+8, 2018-4-21 23:06

    Powered by Discuz!

    © 2001-2017 Comsenz Inc.

    快速回复 澳门网上赌场 返回列表