病毒海之旅-熊猫烧香分析1

一、 病毒简介

“熊猫烧香”,是由李俊制作并肆虐网络的一款电脑病毒,熊猫烧香跟灰鸽子不同,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户的系统备份文件丢失。)被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

二、病毒手动查杀

首先,将还没有感染任务管理器显示出来

当运行病毒软件后,任务管理器就会直接消失,而且不能直接打开。进入命令行操作,输入命令:tasklist,显示效果为:

对比后发现多出一个spo0lsv.exe进程显示正在执行。明显该程序为病毒创建,接下来强制性删除该进程。使用命令taskkill /f /im 3104 ,结果显示:

删除掉进程后,会发现任务管理器能够使用了,接下来检查系统的启动项,在运行中输入msconfig显示:

可以看出病毒已经将启动项进行修改,并在注册表中进行注册过了,其中程序的本体存在于C:....\drivers\下,根据注册表位置打开注册表可以看到:

发现在电脑进行启动时会启动spo0lsv这个程序,接下来修改启动项,将spo0lsv前面的勾去掉并保存,刷新注册表。可以发现:

病毒程序启动从注册表中被删除掉了。接下来就去到病毒主体所在文件夹的位置C:....\drivers\下查看:

果然在目录下发现病毒的主体文件,进行本体文件删除,并再次查看目录文件,显示文件不存在。进行了上一步操作后,病毒手动查杀基本完成。但是注意:病毒除了本体之外会将自己复制在电脑的每一个磁盘根目录之下并且将自身属性设置为隐藏,一般显示不了,隐藏文件显示为:

autorun.inf作用为病毒的自启动程序而setup为病毒的安装程序。输入命令:attrib -s -r -h 程序名 将两个程序属性去掉后用del就可以进行删除。手动查杀熊猫到这里就结束,接下来进行行为和程序逆向分析。

三、行为分析

分析使用Process Monitor工具,可以发现病毒创建了spo0lsv.exe等一系列(包括图标)文件,并修改了系统的注册表和启动项,接下来进行过滤在目前看来spo0lsv.exe可以发现,程序在做上述操作的同时也在不断地向当前电脑所在的局域网进行不断发包(详细流程图就不粘出来了,太长了)。并且从进程树可以发现:

病毒分别运行了两条DOS命令删除了磁盘和根目录的共享。行为分析后程序代码的逆向分析请看病毒海之旅-熊猫烧香分析2。

代码交流 2021