作者丨黑蛋

一、病毒簡介

病毒名稱：
熊貓燒香
文件名稱：
40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496
文件格式：
EXEx86
文件類型(Magic)：
MS-DOS executable
文件大?。?br>29.30KB
SHA256：
40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496
SHA1：
ca3a1070cff311c0ba40ab60a8fe3266cfefe870
MD5：
512301c535c88255c9a252fdf70b7a03
CRC32：
E334747C
SSDEEP：
768:Zf4LGjK09Rex9hq4gx9dtdiKosOOOf1G7mV/Wz3ETC7:Zf4LGjDeNA3diKCOOf4oG3N
TLSH：
T102D2D0E3770A58CDC1811CF0DCB347781994AC79AA0E83B9A911752D0E795FFAF42A35
AuthentiHash：
n/a
peHashNG：
ee0d0b18b39a36cf914131c260b08a27cd71a31b3be9a72d3ef7768cac57aec0
impfuzzy：
3:swBJAEPwS9KTXzW:dBJAEHGDW
ImpHash：
87bed5a7cba00c7e1f4015f1bdae2183
ICON SHA256：
0bf3ce8f441c6ef00c8f8406204f5273cad371683c764c5a901ab9ce925999a9
ICON DHash：
e89433333333e171
Tags：
exe,tls_callback,section_name_exception,lang_chinese,timestamp_exception

二、環(huán)境準(zhǔn)備

虛擬機(jī)

調(diào)試器

安全軟件

Win7x86

x32dbg、OD

火絨劍

三、程序脫殼

首先修改病毒后綴為exe，然后拖入PEID查看：

FSG殼，拖入x32dbg中，F(xiàn)9運(yùn)行到程序領(lǐng)空，然后分析代碼，F(xiàn)8幾步就會發(fā)現(xiàn)剛開始有一個大循環(huán)，F(xiàn)4跳出循環(huán)：

然后繼續(xù)F8就會發(fā)現(xiàn)又是一個循環(huán)，倆個函數(shù)一個LoadLibrary，一個GetProAddress，這里應(yīng)該是修復(fù)IAT表，然后我們F4到其中跳出循環(huán)的jmp上面：

F8就是OEP：

根據(jù)x32dbg自帶插件脫殼先Dump：

需要修復(fù)IAT表，右鍵->搜索->模塊間調(diào)用：

雙擊第一個，看到call回車進(jìn)jmp，然后右鍵數(shù)據(jù)跟隨選擇地址：

然后在這里看一下IAT表偏移，大小，再把7FFFFFFF改成00000000，然后打開插件，寫入OEP：

脫殼成功：

四、行為分析

首先拍個快照，為了更好的查看熊貓行為，咱賦予他管理員權(quán)限，然后把熊貓?zhí)砑拥叫湃螀^(qū)，最后打開火絨劍開啟監(jiān)控，過濾掉其他進(jìn)程：

然后簡單的進(jìn)行一下動作過濾，主要是行為監(jiān)控，注冊表創(chuàng)建，文件創(chuàng)建等：

可以看到主要是釋放了一個文件，C:\Windows\System32\drivers\spo0lsv.exe：

五、靜態(tài)分析

把脫殼后的exe拖到IDA中，從start開始分析，F(xiàn)5反匯編：

首先前面一坨都是一些變量賦值等操作，重點(diǎn)在以下三個函數(shù)：

5.1、sub_40819C分析

通過對函數(shù)內(nèi)部分析，猜測加分析，對部分函數(shù)命名，以及對部分變量直接賦予字符串：

可以看到這里是獲取系統(tǒng)目錄，然后在各個文件夾中創(chuàng)建Desktop.ini，然后在C盤Driver文件夾中創(chuàng)建一個名為spo0slv.exe的可執(zhí)行文件。最后運(yùn)行起來程序。

5.2、sub_40D18C分析

進(jìn)入此函數(shù)，一共有三個函數(shù)：

5.2.1、創(chuàng)建線程：

進(jìn)入回調(diào)函數(shù)sub_40A48C:

這里是一個循環(huán)執(zhí)行，然后遍歷目錄創(chuàng)建Desktop.ini的線程。

5.2.2、Sub_40C374：

進(jìn)入箭頭指向函數(shù)：

這里就是簡單的看steup.exe和autorun.inf文件是否存在，否則拷貝自身創(chuàng)建。

5.2.6、sub_40BACC:

進(jìn)入sub_40BA8C:

進(jìn)入sub_40B864:

可以看到這里是一個創(chuàng)建網(wǎng)絡(luò)鏈接的函數(shù)，也是這個函數(shù)根本目的。

5.3、sub_40D088:

這個函數(shù)里面有6個計時器，咱一個一個分析：

5.3.1、第一個計時器

里面有些函數(shù)是我根據(jù)分析+猜測修改的名稱，以My開頭，根據(jù)注冊表路徑信息可以看到，這里是進(jìn)行了自啟動注冊表修改，然后設(shè)置屬性為隱藏。

5.3.2、第二個計時器

一直跟進(jìn)去，直到跟進(jìn)一個創(chuàng)建線程回調(diào)函數(shù)里面：

可以看到就是簡單的從網(wǎng)絡(luò)下載東西然后創(chuàng)建文件，最后啟動。

5.3.3、第三個計時器

進(jìn)第一個回調(diào)函數(shù)，一直跟進(jìn)去發(fā)現(xiàn)和之前的是一樣的，就是下載，創(chuàng)建，啟動。跟進(jìn)第二個回調(diào)函數(shù)：

可以看到這里是通過cmd中斷所有網(wǎng)絡(luò)連接，刪除網(wǎng)絡(luò)共享。

5.3.4、第四個計時器

一直跟進(jìn)去，到最后是sub_406E44:

根據(jù)分析我對里面的函數(shù)都進(jìn)行了重命名，都是刪除注冊表值，關(guān)閉服務(wù)等內(nèi)容，這里是關(guān)閉了殺軟。

5.3.5、第五個計時器

這里是對一些網(wǎng)址進(jìn)行解密打開，解密之后我都進(jìn)行了備注。

5.3.6、第六個計時器

首先跟進(jìn)箭頭函數(shù)，可以看到是一些網(wǎng)絡(luò)操作，讀取創(chuàng)建等操作：

返回上一步向下看，同樣是一些下載東西，創(chuàng)建文件，然后啟動等操作：

六、總結(jié)

此病毒是加了一個殼，然后需要脫殼修復(fù)IAT表，然后根據(jù)火絨劍觀察一下具體行為操作。然后拖到IDA中靜態(tài)分析就可以了。