Автор: Хэй Дэн

1. Знакомство с вирусами

Название вируса: Панда сжигает благовония Имя файла: 40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496 Формат файла: EXEx86 Тип файла (Магия): Исполняемый файл MS-DOS Размер файла: 29,30 КБ SHA256: 40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496 ША1: ca3a1070cff311c0ba40ab60a8fe3266cfefe870 MD5: 512301c535c88255c9a252fdf70b7a03 CRC32: E334747C ССДЕЕП: 768:Zf4LGjK09Rex9hq4gx9dtdiKosOOOf1G7mV/Wz3ETC7:Zf4LGjDeNA3diKCOOf4oG3N ТЛШ: T102D2D0E3770A58CDC1811CF0DCB347781994AC79AA0E83B9A911752D0E795FFAF42A35 Аутенти Хэш: н/д пе ХашNG: ee0d0b18b39a36cf914131c260b08a27cd71a31b3be9a72d3ef7768cac57aec0 нечеткий: 3:swBJAEPwS9KTXzW:dBJAEHGDW Имп Хэш: 87bed5a7cba00c7e1f4015f1bdae2183 ЗНАЧОК SHA256: 0bf3ce8f441c6ef00c8f8406204f5273cad371683c764c5a901ab9ce925999a9 ЗНАЧОК DHash: e89433333333e171 Теги: exe, tls_callback,section_name_Exception,lang_chinese,timestamp_Exception

2. Подготовка окружающей среды

3. Программный обстрел

Сначала измените суффикс вируса на exe, затем перетащите PEID для просмотра:

FSG, перетащите его в x32dbg, запустите F9 в воздушное пространство программы, а затем проанализируйте код. После нескольких шагов F8 вы обнаружите, что в начале есть большой цикл, и F4 выскакивает из цикла:

Затем продолжайте нажимать F8, и вы найдете еще один цикл. Есть две функции: LoadLibrary и GetProAddress. Это должно быть для восстановления таблицы IAT. Затем мы нажимаем F4 на jmp, который выходит из цикла:

F8 — ОЭП:

Сначала сделайте дамп согласно распаковке собственного плагина x32dbg:

Необходимо отремонтировать таблицу IAT.,Щелкните правой кнопкой мыши->поиск->Звонки между модулями：

Дважды щелкните первый, увидите вызов и нажмите Enter, чтобы ввести jmp, затем щелкните правой кнопкой мыши данные и следуйте по выбранному адресу:

Затем посмотрите здесь смещение и размер таблицы IAT, измените 7FFFFFFFF на 00000000, затем откройте плагин и напишите OEP:

Обстрел успешный:

4. Анализ поведения

Сначала сделайте снимок,Чтобы лучше видеть поведение панды,Давайте дадим ему права администратора,Затем добавьте панд в зону доверия,Наконец откройте трутовый меч, чтобы начать мониторинг.,Отфильтруйте другие процессы:

Затем просто выполните фильтрацию действий, в основном мониторинг поведения, создание реестра, создание файлов и т. д.:

Вы можете видеть, что в основном выпущен один файл, C:\Windows\System32\drivers\spo0lsv.exe:

5. Статический анализ

Перетащите распакованный exe в IDA, запустите анализ с начала и дизассемблируйте по F5:

Прежде всего, все предыдущие операции — это такие операции, как присвоение переменных, с упором на следующие три функции:

5.1, анализ sub_40819C

Посредством внутреннего анализа функций, догадок и анализа некоторым функциям присваиваются имена, а некоторым переменным напрямую присваиваются строки:

Вы можете видеть, что получен системный каталог, затем в каждой папке создается Desktop.ini, а затем в папке Driver на диске C создается исполняемый файл с именем spo0slv.exe. Наконец запустите программу.

5.2, анализ sub_40D18C

При входе в эту функцию есть три функции:

5.2.1. Создать тему:

Введите функцию обратного вызова sub_40A48C:

Вот поток, который выполняется в цикле, а затем проходит по каталогу для создания Desktop.ini.

5.2.2、Sub_40C374：

Введите стрелку, указывающую на функцию:

Вот простая проверка, существуют ли файлы Step.exe и autorun.inf, иначе они будут скопированы и созданы сами собой.

5.2.6、sub_40BACC:

Введите sub_40BA8C:

Введите sub_40B864:

Вы можете видеть, что это функция, создающая сетевое соединение, что также является основной целью этой функции.

5.3、sub_40D088:

В этой функции 6 таймеров. Давайте разберем их один за другим:

5.3.1. Первый таймер.

Некоторые функции в нем имеют имена, которые я изменил на основе анализа и догадок. Они начинаются с My. Вы можете видеть это из информации о пути к реестру. Здесь изменяется самозапускающийся реестр, а затем для свойств устанавливается значение «скрытый».

5.3.2. Второй таймер.

Продолжайте следить за этим, пока не дойдете до функции обратного вызова создания потока:

Вы можете видеть, что он просто загружает что-то из Интернета, создает файл и, наконец, запускает его.

5.3.3. Третий таймер.

Введите первую функцию обратного вызова и следуйте ей, чтобы обнаружить, что она такая же, как и раньше, то есть загрузите, создайте и запустите. Далее выполните вторую функцию обратного вызова:

Вы можете видеть, что все сетевые подключения прерываются через cmd и сетевой ресурс удаляется.

5.3.4. Четвертый таймер.

Продолжайте следовать по нему, пока не закончится sub_406E44:

По анализу переименовал все функции внутри, удалил значения реестра, закрыл службы и т.д. Вот антивирусное ПО отключил.

5.3.5. Пятый таймер.

Вот несколько URL-адресов, которые расшифрованы и открыты. После расшифровки я сделал заметки.

5.3.6 Шестой таймер.

Сначала следуйте функции стрелки, вы можете увидеть некоторые сетевые операции, создание чтения и другие операции:

Вернитесь к предыдущему шагу и посмотрите вниз. Также есть некоторые операции, такие как загрузка вещей, создание файлов и их последующий запуск:

​

6. Резюме

К этому вирусу добавлена ​​оболочка,Затем вам необходимо распаковать и восстановить таблицу IAT.,Тогда согласнотрутовый меч Наблюдайте за конкретными поведенческими операциями. Затем перетащите его в IDA для статического анализа.