練手之經典病毒熊貓燒香分析(上)

2021-02-13 七夜安全博客

《Python爬蟲開發與項目實戰》基礎篇 試讀章節連結:

   http://pan.baidu.com/s/1hrWEOYg

    這本書包括基礎篇,中級篇和深入篇三個部分,不僅適合零基礎的朋友入門,也適合有一定基礎的爬蟲愛好者進階,如果你不會分布式爬蟲,不會千萬級數據的去重,不會怎麼突破反爬蟲,不會分析js的加密,這本書會給你驚喜。

      熊貓燒香病毒在當年可是火的一塌糊塗,感染非常迅速,算是病毒史上比較經典的案例。不過已經比較老了,基本上沒啥危害,其中的技術也都過時了。作為練手項目,開始對熊貓燒香病毒進行分析。首先準備好病毒樣本(看雪論壇有),VM虛擬機和Xp Sp3系統。樣本參數如下:

        今天說的主要是行為分析,所以還需要兩個軟體 ,一個是Process Monitor v3.10,一個是PCHunter。Process Monitor v3.10是微軟提供的,可以監視一個進程對文件,註冊表,網絡和線程進程操作的工具。

        

 

        PCHunter則是一個強大的ARK工具,專門對付Rootkit,我主要是想用來掛進病毒進程,發現一些隱藏的文件,和一些啟動項。

        首先我們在XP Sp3虛擬機中打開Process Monitor ,然後運行panda.exe病毒,這時候就開始監聽熊貓燒香的一舉一動。

        大約運行兩分鐘後,我們使用PCHunter將病毒進程掛起,停止他的工作。此時你會發現進程名稱不是panda.exe,而是spcolsv.exe,右鍵將他掛起再說。

        掛起之後,將Process Monitor中的監聽數據進行保存,然後我們就可以進行離線分析了。Process Monitor的強大之處在於過濾器,因為Process Monitor監聽的是所有的進程,數據量太大。下面我們從進程線程,文件,註冊表和網絡四個方面來分析一下病毒的行為。

1.進程線程

 由於我們發現進程名改變了,所以先看一下Process Monitor中的進程樹,了解一下進程和線程的變化。

        在上圖的紅框中,我們發現panda.exe啟動了spcolsv.exe進程,然後spcolsv.exe有啟動了三個cmd,執行的命令為:cmd.exe /c net share C$ /del /y ,cmd.exe /c net share A$ /del /y,cmd.exe /c net share admin$ /del /y ,這些cmd的命令主要是用來刪除默認共享。下面我們看一下線程的情況,spcolsv.exe啟動了很多的線程,來執行一些操作。

2.文件

         首先看一下spcolsv.exe進程從哪來的,過濾一下panda.exe的文件操作。

        可以看到panda.exe從自身分離出spcolsv.exe,然後將文件寫到C:\WINDOWS\system\driver 文件夾下。然後panda.exe將spcolsv.exe啟動起來。

        spcolsv.exe啟動起來開始進行真正的感染工作,在每個盤的根目錄下複製出自身,命名為setup.exe,並生成autorun.inf文件。autorun.inf的作用是當用戶打開盤符的時候,會自動運行setup.exe,實現持久性運行。同時在整個盤的每個文件夾下創建Desktop_.ini文件。

        運行一會後開始感染exe文件,從下圖可以看到對我電腦中的Ollydbg.exe進行了寫入操作。

感染的結果變成了下圖的樣子。

 

 

3.註冊表

         病毒對註冊表的操作主要幹了兩件事情,第一件事是加入自啟動,在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run鍵項中添加svcshare。同時通過設置HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 中的CheckedValue的鍵值設置為0,進行文件隱藏,防止用戶查看釋放的病毒。這個過程是隔一段時間就會進行一次。

    第二件事是刪除殺軟的自啟動項,其中包括卡巴斯基,邁克菲McAfee等殺軟。

 

 

4.網絡

    從目前的分析來看,病毒將不斷掃描區域網默認共享。用來在區域網 中傳播。

5.編寫簡單的專殺工具

        無論是手動殺毒還是自動殺毒,通過病毒的行為,我們主要從以下方面來殺死病毒:

結束 spcolsv.exe和setup.exe進程

刪除spcolsv.exe,setup.exe,autorun.inf和Desktop_.ini文件

刪除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run鍵項中的svcshare,將HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue設置為1

    最後使用MFC編寫了一個熊貓專殺工具(Desktop_.ini暫時沒刪除),部分代碼參考 姜曄的技術專欄。

6.總結

         通過行為監控的方式完成了對熊貓燒香病毒的查殺,不過還不夠徹底。那些被感染的exe文件,我們還沒有恢復,如果想要進一步的研究,下一節我們對病毒進行逆向,看它是如何感染的。

相關焦點

  • 「熊貓燒香」病毒當年到底多殘忍?
    」病毒是多麼瘋狂,那還是我上中學那時候的事,如果放到現在的話就不是事了,但是在當時一旦電腦感染了這個病毒,那就是噩夢開始了。「熊貓燒香」是一種計算機病毒,是2006年10月16日由25歲的湖北武漢人李俊編寫,從2007年1月初肆虐網絡,主要通過下載的文件進行傳染。
  • [法治在線]「熊貓燒香」
    「熊貓燒香」已成為眾多電腦用戶談之色變的詞彙,在他們眼中那隻憨態可掬的熊貓,早已沒有任何可愛而言,有的只是唯恐避之不及。根據瑞星公司提供的「熊貓燒香」病毒用戶求助數據,僅1月9號這一天,向瑞星公司求助的人數已達到1016人次;並且這個數據還僅限於瑞星殺毒軟體的正版用戶,所以只是冰山一角。
  • 病毒木馬查殺第006篇:熊貓燒香之逆向分析(中)
    一、前言 上一篇文章講解了「熊貓燒香」病毒樣本的反彙編代碼入口處的分析,雖然尚未研究到病毒的核心部分,但其實我們後續的分析與之前的思想是一致的
  • 當年製作超級病毒「熊貓燒香」的程式設計師,13年過去,現在咋樣了?
    結果搜著搜著抄著抄著,也不知怎麼的, 突然電腦就出現了一個彈窗,然後就回到了桌面,只看到幾隻燒香的熊貓,而後就是無數彈窗席捲了整個桌面,電腦完全動彈不得,筆者還以為是自己弄壞了電腦呢。過了幾天才知道,原來是當時整個網吧電腦都感染了一種叫做「熊貓燒香」的病毒。
  • "熊貓燒香"事件始末及背後隱藏的網絡黑勢力
    2006與2007年歲交替之際,一名為「熊貓燒香」的計算機病毒在網際網路上掀起軒然大波。在2003年「衝擊波」、2004年的「震蕩波」過後,計算機病毒主要是木馬病毒為主,而木馬病毒主要是有針對性的小範圍感染,再加上木馬病毒的隱藏特徵,中毒電腦表面上沒有任何跡象,所以網際網路表面上一直風平浪靜。怎麼也沒想到這次病毒來的這麼猛,李冰想起來仍然心有餘悸。那天他正在用QQ聊天,突然系統一個程序報錯,於是他重啟了一下電腦,結果重新登陸後發現電腦中所有的可執行文件都變成了「熊貓燒香」的圖案。
  • 曾經「轟動一時」的病毒熊貓燒香,它的創始人,如今混得怎麼樣?
    曾經「轟動一時」的病毒熊貓燒香,它的創始人,如今混得怎麼樣?隨著網際網路科技的發展,很多行業都進入了繁榮時期,比如電商、快遞等等。現在網際網路行業可以說是非常吃香,很多企業都急需計算機專業的人才。不知道各位是否還記得「熊貓燒香」這個電腦病毒?當年這個病毒可以說是「臭名昭著」,破壞了很多人的電腦。了解過這個事件的人應該清楚,熊貓燒香病毒的創始人是一個沒有什麼名氣的黑客弄出來的,他就是李俊。這位黑客的名氣可以說是非常大,因為不是計算機專業出身的他,卻有著這麼高超的技術,可見天賦非常高。初中就畢業的李俊,在打工的時候才開始學習計算機,從此就一發不可收拾了。
  • 新手熊貓燒香學習筆記
    第四個時鐘手殺方法這是我第一次分析病毒,我把我整個學習過程記錄下來分享給大家,希望大家能有所受益。除了字符串和熊貓燒香圖標外,沒有找到其他有用的信息。查看導入表將病毒文件拖入Load PE查看每個DLL導入的API,對病毒具體行為進行初步的猜測。
  • 那個曾製造「熊貓燒香」病毒,波及全國電腦的年輕人,今現狀怎樣
    原:那個製造「熊貓燒香」病毒的小哥,曾殃及全國電腦,如今怎樣了?那個曾製造「熊貓燒香」病毒,波及全國電腦的年輕人,如今過的怎樣?還記得那個製造「熊貓燒香」病毒,殃及全國電腦的年輕人嗎?這部分人經常做一些煩人的事情,最噁心的是製造病毒。一旦計算機被病毒入侵,許多軟體和重要文件都將受到破壞。然而,要說中國歷史上最著名的病毒事件無疑是「熊貓燒香」。2006年,那是一個非常平靜的年份,但全國各地的電腦突然被病毒感染,除了普通人的電腦,連政府的電腦也受到了攻擊。一時間,全國陷入混亂,網際網路系統崩潰,無人能挽救。
  • 13年前製作「熊貓燒香」病毒,入侵百萬用戶的李俊,如今怎樣了?
    一旦被病毒入侵,那麼後果不堪設想。在2007年國內便爆發了一種名為「熊貓燒香」的病毒,一旦中病毒電腦桌面便會出現一隻熊貓拿著三炷香,令人感到不寒而慄。這種病毒是一種擁有自動傳播、自動感染硬碟能力的病毒。破壞力十分的強大,不但能感染系統中的exe,com,pif,src等重要文件,同時還能中止大部分的反病毒軟體進程。
  • 12年前,那個發明超級病毒「熊貓燒香」的李俊,如今過得怎麼樣?
    今年4月,一種名為WannaRen的電腦病毒開始傳播,所有中毒的電腦會被加密全部的文件,改成後綴為.WannaRen的不可用文件。因為這款病毒的目的在於詐取贖金,所以被歸為勒索病毒之列,其要求的贖金是0.05個比特幣。
  • 網絡公司註冊熊貓燒香為商標 稱為挽回國寶形象
    滿屏的熊貓香,刪除過往。熊貓猖狂,點上三根香,是誰在電腦前冰冷的絕望……」一首網友改版的《菊花臺》足見病毒熊貓燒香的威力。熊貓燒香可以說是2006年年末到2007年年初最受人們關注的電腦病毒了,更有網絡人士稱之為這個時間段的「毒王」。一個是可愛至極的國寶,一個是殺傷力超強的電腦病毒,一想到病毒與我們國寶聯繫在一起,讓長春市某網絡公司的技術部經理王小東很看不過去。
  • 13年前,那個製造超級病毒「熊貓燒香」的「天才」,最後他咋樣了
    13年前,那個製造超級病毒「熊貓燒香」的「天才」,他最後怎麼樣了呢? 這位「天才」少年,叫做李俊,他原本是一個普通的少年,就如他的名字一般普通,但就是這樣的一位少年卻犯下了驚動全國的計算機犯罪案件,他可能自己也沒有想到,會因為自己做的一個「軟體」而出名。
  • 14年前發明「熊貓燒香」病毒的天才,入獄4年,出獄後過的如何?
    不知大家對「熊貓燒香」這個網絡病毒>還有沒有印象,當時的「熊貓燒香」令眾多公司聞風喪膽,害怕至極。出於對未知得好奇與探索,他對目前現有得代碼進行了補充完善,最終,這個經李俊完善後得病毒便成為了大家家喻戶曉得「熊貓燒香」。
  • 揪出熊貓幕後黑手 首例電腦病毒案告破
    2007年2月12日晚六時許,一條新聞同時在國內各家網站傳播開來:「湖北告破熊貓燒香電腦病毒案 抓獲8名疑犯」。金山毒霸反病毒專家表示,犯罪嫌疑人李俊製造並販賣病毒的行為已經嚴重危害了廣大網民的利益,必將受到嚴懲。但從熊貓燒香傳播的速度和變種的數量上來看,參與這起案件的人應該不只8人,其背後必定是一個團夥在進行作案。據悉,此次之所以能夠成功抓獲熊貓燒香製造者,是在湖北省公安廳的統一部署下,湖北網監在浙江、山東、廣西、天津、廣東、四川、江西、雲南、新疆、河南等地公安機關的配合下,一舉告破的。
  • 是誰讓熊貓燒香作者找不到工作?
    看到熊貓燒香作者李俊黯然離京的消息後,我感覺很心酸,他滿懷興奮和渴望的來到大京城,卻由於犯罪的痕跡被人拒之門外,真的不知道是他錯了,還是這個社會錯了。其實從被媒體曝光出獄找工作起,他已經找不到工作。
  • 14年前網絡天才發明"熊貓燒香"病毒,獲4年有期徒刑,現如何
    說起網絡安全,就不得不提起當年引發連鎖反應,榮登數年病毒榜首位的熊貓燒香。所有文件一經感染,就會自動變成一個熊貓捧著三根香的圖片,撇開病毒的危害來說,造型還挺萌。李俊,他出身在武漢一個普通家庭,和大部分男孩一樣,不喜歡學習喜歡玩鬧的他,很快喜歡上了當年的新事物電腦。
  • 熊貓燒香病毒是什麼
    」圖案,所以也被稱為 「熊貓燒香」病毒。中毒症狀  除了通過網站帶毒感染用戶之外,此病毒還會在區域網中傳播,在極短時間之內就 可以感染幾千臺計算機,嚴重時可以導致網絡癱瘓。中毒電腦上會出現「熊貓燒香」圖案,所以也被稱為「熊貓燒香」病毒。中毒電腦會出現藍屏、頻繁重啟以及系統硬碟中數據文件被破壞等現象。
  • 《無敵破壞王2》之蠕蟲病毒
    很早的時候,當蠕蟲病毒在計算機上發作時,屏幕上會出現一條類似蟲子的東西,胡亂吞吃屏幕上的字母並將其改形,所以稱之為蠕蟲病毒。   小白:哈哈,那還真挺形象的呢。   大東:這種病毒會利用網絡進行複製和傳播,現實生活中有不少著名案例,比如第一個蠕蟲病毒「莫裡斯」,擴散於早期 Windows 系統的「衝擊波」病毒,還有當年在中國「紅」極一時的熊貓燒香,都屬於蠕蟲病毒。
  • 勒索病毒肆虐全球!歷史上嚴重的計算機病毒事件盤點
    其實,從計算機誕生以來,病毒就一直如影相隨,只是隨著近年微軟、蘋果在作業系統上的努力和安全軟體的普及,病毒這種東西似乎離我們越來越遙遠。而這次被感染的電腦搭載的也主要是陳舊的Windows系統。現在,我們就來回顧一下歷史上曾經歷的有代表性的計算機病毒。
  • 熊貓燒香病毒專殺及手動修複方案 v1.1
    正在閱讀:熊貓燒香病毒專殺及手動修複方案 v1.1熊貓燒香病毒專殺及手動修複方案 v1.12007-01-13 12:25出處:PConline作者:GonNa提供了病毒進程為spoclsv.exe和FuckJacks.exe變種的解決方案,和熊貓燒香病毒專殺工具。  在動手查殺熊貓燒香病毒之前,強烈建議先注意以下四點:  1.本文包含兩種熊貓燒香病毒變種的描述,請注意查看病毒症狀,根據實際情況選用不同的查殺方法。