前言
熊猫烧香是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒。今天我们来分析一下它是如何感染,传播以及自我防护的。
正文
用PEid查看一下。
是用Delphi编写的,它的特点是有些是以寄存器传参。
放入IDA查看
前面一段是Delphi的入口程序代码
分析第一个函数,可以看到是拷贝字符串
通过异或进行解密,这里传入的密钥是xboy
后面进行对比
判断是否存在ini文件
判断是否在系统目录
如果不是,则进行复制重命名
搜索有无该进程,如果有则结束
这里用的是动态引入的方法
写入了内存一些字典,结合之后的代码来看,是用来传播暴力破解的时候用的
接下来开始感染文件
对一些敏感目录进行跳过
获取时间,生成ini文件
判断是否是GHO文件,删除防止用户还原
判断文件里面有偶没有感染标识符
读取的文件内容
生成要拼接的字符串
到文件里面验证
遍历写入setup.exe和aoturun.inf
针对139,445端口进行传播
拷贝文件到目标主机
获取系统时间,生成计划任务
进入计时器内,设置自启动
提升权限
检测杀软
访问远程地址,下载并执行
关闭共享
停止服务,停止并删除服务,删除注册表键值
防范建议:
局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。安装杀毒软件
原文始发于微信公众号(实战安全研究):实战 | 记一次熊猫烧香病毒分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论