熊猫烧香病毒机理分析
(1)自启动方式
熊猫烧香病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项
这种方式也是绝大部分病毒自启动所采用的方式。
拷贝自身到所有驱动器根目录(盘符),命名为Setup.exe,在驱动器根目录生成
autorun.inf文件,并把它设置为隐藏、只读、系统
autorun.inf文件的作用是允许在双击磁盘时自动运行指定的某个文件,即运行Setup.exe。
(2)传播方式
a、感染可执行文件
熊猫烧香病毒会搜索并感染系统中特定目录外的所有.EXE / .SCR / .PIF / .COM等文件,将自身捆绑在被感染文件前端,并在尾部添加标记信息:.WhBoy{原文件名}.exe.{原文件大小}。注意,它感染的是特定目录外的,而某些系统目录是不去感染的,因为Windows系统某些可执行文件是有还原机制的,系统文件修改有时候会有报警提示。
b、感染网页
熊猫烧香病毒会查找系统以 .html 和 .asp 为后缀的文件,在里面插入网页标记,这个帧iframe会将另外一个URL嵌入到当前网页,并且宽度和高度设置为0(看不到)。嵌入页面后会利用如IE浏览器的漏洞来触发恶意代码,从而释放相应病毒出来。
c、通过弱口令传播
这种传播方式非普遍,它会访问局域网共享文件夹将病毒文件拷贝到该目录下,并改名为GameSetup.exe(模拟游戏名称);通过弱口令猜测从而进入系统C盘。
(3) 自我隐藏
a、禁用安全软件
熊猫烧香病毒会尝试关闭安全软件(杀毒软件、防火墙、安全工具)的窗口、进程,比如包含360的名称等;删除注册表中安全软件的启动项;禁用安全软件的服务等操作。
b、自动恢复“显示所有文件和文件夹”选项隐藏功能
某些用户去看隐藏文件,会主动点击查看隐藏文件夹,但这个病毒会自动恢复隐藏。
c、删除系统的隐藏共享(net share)
Windows系统其实默认会开启隐藏共享 C$ ,比如早期的 IPC$ 管道等,通过net share命令可以删除隐藏共享。
(4)破坏情况
a、熊猫烧香病毒同时会开另一个线程连接某网站下载DDOS程序进行发动恶意攻击
具有破坏功能,可开启附件攻击行为,熊猫烧香感染计算机台数非常多,它就能发动多台电脑发起DDOS攻击。
b、删除扩展名为gho的文件,延长存活时间
该文件是系统备份工具GHOST的备份文件,从而使用户的系统备份文件丢失。当用户中了病毒,想去恢复时就存在困难了。
实战过程
实验环境: Windows XP 吾爱破解专版
实验文件:setup.exe(熊猫烧香)
手动查杀病毒基本流程
1、排插可疑进程
2、检查启动项
3、删除病毒
4、修复被病毒破坏的文件
第一步,运行样本之前打开任务管理器查看当前进程
第二步,运行样本之后,发现任务管理器闪退
第三步,打开cmd,输入”tasklist“
我们看到的process信息如下,我们发现多出来一个新的进程“spoclsv.exe”
第四步 终止进程
指令:**taskkill /f /im + 对应的PID值 ** /f 表示强制执行 /im 表示文件
这里输入的是:taskkill /f /im 1752
第五步 查询启动项
第六步 检测这个启动项创建的位置和键值
也就是上图中的命令和位置
- C:\WINDOWS\System32\drivers\spoclsv.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
第七步 注册表查看对应的值
我们打开这个目录查看