熊猫烧香病毒分析

标题：熊猫烧香病毒分析

作者：断桥烟雨旧人伤

参考书籍：《C++反汇编与逆向分析技术揭秘》

0x00 前述

　　为了培养我们独自分析病毒能力，老师发了一个病毒文件给我们分析，并要求写一份病毒分析报告，正因为这是我第一次写这种报告，所以我打算把过程记录下来。

0x01 初步分析

病毒文件如下：

由上图可知，该文件为一个 vir 文件，很明显是一份病毒文件，为了探知原病毒文件的真实格式，这里我用了一个在线检测 vir 文件的第三网站，检测结果如下：

由图可知，该文件有 52.9% 概率为 win32 可执行格式，也就是 exe 格式，所以把它的后缀改为 exe 格式，不出所料，改完后为如下：

看到这，你们也明白这是著名一时的熊猫烧香病毒，切忌，不要在真机下直接双击，后果自负。把它拖到虚拟机里，按照以往的套路，先查壳，结果如下：

由上图可知，该病毒加了一个 FSG 壳，版本 2.0，如果你不放心，可以用其他查壳软件对此进行查壳，从中再做出决定。我们知道，FSG 壳 为压缩壳，你可以用脱壳机去脱，你也可以手工脱，这里我用手工方式对其进行脱壳，顺便提升下自己的脱壳能力。

0x02 手脱 FSG 壳

把 xiongmao.exe 拖放到 OD 中，如下：

然后一路 F8 下去，会发现一直处在一个来回循环中，经过初步分析，程序在地址 0x004001D1 和 0x004001D9 处之间在修复 IAT 表，如下：

在修复 IAT 表完成后，需将值 0x7FFFFFFF 依次修改为 0，如下：

待壳修复完成后，在 JMP 处按 F7 跳转至 OEP 处，并按 Ctrl + A 强制分析，如下：

地址为 0x0040D278，我们用 OD 插件 OllyDump 脱壳，将入口点地址修正为 0xD278，如下：

将文件名命名为 xiongmao1.exe，这时双击它并不会直接运行，如下：

此时我们需要手动来修复 IAT 表，打开 Import REC，我们借助这个工具来对 IAT 表进行修复，选择 xiongmao.exe，如下：

选择刚刚 Dump 出来的文件，如下：

之后，会生成 xiongmao1_.exe 文件，我们再对其进行查壳，如下：

由此可见，这是用 Delphi 编写的病毒。那么，脱壳就到此结束。

0x03 进一步分析

当壳已被脱完并修复后，那么我们就可以运行了，双击，然后并没有感觉有什么反应，打开 PCHunter32 工具查看一下是否有可疑的进程，如下：

果不其然，有一个图标为熊猫的应用程序启动了，名为 spo0lsv.exe 的进程，注意，在你开始运行前先拍个快照，从这里可以说明，程序启动时，它会启动 C:\WINDOWS\system32\drivers 下的 spo0lsv.exe 程序，至于这个程序到底在做什么现在暂时还不知道，我们先看下其它的，比如在网络这块发现好多 spo0lsv.exe 字样，如下：

说明该程序在进行通信操作，具体是什么还不是很清楚，不过从它的协议和连接状态来看，它可能在监听，扫瞄什么东西，为了探究它到底在做什么，这里用抓包工具 WSExplorer 对其进行分析，如下：

由上可知，程序 spo0lsv.exe 在后台默默地发送数据和接收数据，从中我还特意去访问这些 IP 地址，发现有好多是雅虎和搜狐的，我猜应该和广告有关，其中也有一些访问不了的，这个先暂时放一边。查看其它选项，并没有发现什么异常，但是，你会发现，你电脑上部分的 exe 文件图标变成了熊猫图标了，如下：

我这里的吾爱破解工具包大部分 exe 文件都被感染了，当你运行过后，不会立马变，需要等会，等它发作。接下来用火绒剑来分析它的行为，把病毒样本拖放到火绒剑中，如下：

由于上面列举的项太多了，所以打算一个一个来分析，首先分析它会对文件进行哪些操作，如下：

当火绒剑分析完后，会在你电脑下的 C:\WINDOWS\system32\drivers 目录下生成 spo0lsv.exe 这个可执行文件，如下：

注意下它的修改时间，表明它是刚生成的，接下来对注册表进行分析，如下：

从上图可以看出，该病毒注册了多项启动，并且还有很多跟浏览器有关的注册表项，这也验证了前面用抓包工具分析的结果。下面来看下进程监控，如下：

从上图可知，它对进程的操作有打开设备、枚举进程、释放、恢复等操作。

往下拉，发现有 cmd 命令操作行为，火绒剑有一个好处我们可以查看它执行的命令是什么，如下：

cmd.exe /c net share D$ /del /y 这条命令的意思是在删除网络共享，但不管怎么说，先拿个本子记下来，下面对网络过滤，如下：

果不其然，看到搜狐了，看来之前猜想正确，这里它是在进行局域网连接，外网发送数据包。最后过虑掉其它，看下其它行为，如下：

从上往下拉，在路径这一栏，你会发现有大量的 Desktop_.ini 字样，说明这里有鬼，不多说，先记下来。大致分析就到这，在进行下一步前，先做个总结，如下：
病毒文件加了 FSG 壳，当把壳脱掉后双击运行表面看并没有什么发生，没啥动静，其实它已经开始进行大量操作，通过上面的进一步分析，具体体现在以下几个方面：

以上就是我个人对该病毒的进一步分析，接下是深入分析，当然，会结合上面分析出来的一些线索，这些线索在后面会有很大的帮助。工具会用到 OD 和 IDA 调试工具。

0x04 深入分析