熊猫烧香分析

在这里主要分析一下熊猫烧香病毒的初始化部分。

病毒文件可以在看雪里下载。

先对熊猫烧香病毒进行一下手动查杀，由于电脑里的软件在查杀病毒时有滞后性，所以学习手动查杀还是很有必要的。

我们先来排查可疑进程。

先把样本放到虚拟机里面，查看任务管理器发现进程数是26

然后运行病毒样本发现任务管理器消失了，再打开也是一闪而过，那么也就说明这个病毒文件已经对电脑产生了影响。

我们可以利用tasklist命令进行查看：

通过和上面的对比就可以知道多出了一个名为spoclsv.exe的程序，然后将其删掉就可以了，

这样排查可疑进程就结束了。

下面来检查系统的启动项。在运行命令里面输入msconfig查看启动项：

 

在这里可以看到spoclsv已经是自启动的一部分了，还可以看到它的路径，在这里将前面那个√删掉，点击确定就可以了。

下面就需要删除病毒了。

通过刚刚的操作已经知道了病毒的位置，利用del /f spoclsv.exe命令将其删除就可以了。

在查看C盘里的内容时明显发现了多出了autorun.inf和setup.exe，将其删除就可以了：

回到cmd查看，在隐藏属性里发现了这两个

将其删除：

手动查杀到这里就结束，之后重启电脑就可以了。

下面进行逆向分析：

先进行查壳，如果有壳的话需要进行脱壳，通过peid可以看到这个并没有加壳。

使用ida载入病毒文件，首先可以看到接连调用了两个一样的函数

使用OD看到了两个字符串

函数sub_403C9A就是分配一定大小的内存空间和字符串的拷贝

可以将其重命名为allospaceandcopystring。（重命名是为了后面看到是更加清楚明了，具体的名字根据自己，自己明白就好）

继续分析下一个call：

第一个字符串时xboy，第二个是一堆乱码。

继续分析，看到了一个循环，这里就是进行解码的操作。

将其重命名为decode

函数sub_40401A就是将上面解密后的字符串进行比较

可以看到如果比较成功的话就会跳转到loc_40CC32，继续进行解密和比较的操作

可以将其重命名为comstring

然后会跳转到loc_40CC5C：

分析第一个call  函数sub_408042

先是进行空间申请：

下面就分析每一个call

函数sub_40277E调用了函数GetModuleFileNameA

利用OD跟随：

可以将其重命名为getpathandname

分析sub_405686

先是对刚刚获取的路径从后往前与 “\”  “/”  ” :” 进行比较，

继续向下分析可以知道，函数是为了获取除了文件名以外的路径。

将其重命名为getpath

继续下一个call

这个就是将刚刚去掉文件名的路径与字符串Desktop_.ini结合成一个新的路径。可以将其重命名为stringconnect

函数sub_4057A6的目的就是验证刚刚连接的路径是否存在。

可以将其重命名为checkfileexist

由于前面的一些小秘密的操作继续往下看就会很清楚了，如果当前目录下存在Desktop_.ini，就会将其属性改为正常，然后停止一毫秒后对其进行删除

继续分析未知意图的call：

函数sub_4040CE就是完成一个验证，将其重命名为checkpath,

函数sub_4078E2：

可以观察到在步过sub_4078E2时数据窗口显示了大量的字符，整体来看就是写入病毒信息到内存，将其改名为writevirusinfotomemory。

sub_403C46我并没有发现它的具体功能是什么，在利用OD动态调试时发现了标志位Z从0变成了1，那么久可以将其重命名为setzerpflag。

sub_403ECE就是获取pe文件的长度，可以将其重命名为getpefilelen。

在获取长度后会执行一个跳转jmp     short loc_408181

继续向下分析，这个函数主要就是调用了函数CharUpperBuffA，把缓冲区中指定的字符转换成大写，将其重命名为toupper。

下一个call是sub_4054BE，调用了GetSystemDirectoryA，获取系统的路径，可以将其重命名为getsysdir。

通过OD跟随可以知道函数sub_403F8E我主要目的就是将上面获取的路径与两个字符串进行拼接，将其重命名为twostringconnect。

通过分析可以知道函数sub_4060D6目的是查找进程spoclsv.exe，如果就将其结束掉，重命名为searchandterminateprocess

继续向下看就会看到函数是刚刚分析过的，理解其意思就会方便很多，这也就体现了重命名的好处。

下面看到了CopyFileA

这里就是将病毒文件改为spoclsv.exe，复制到目录下。

继续向下看到了WinExec，结合OD可以知道现在就是运行程序，然后就退出了。

这里就是一个call接着一个call分析，然后弄清楚整体代码的意思，大家在自己分析的时候也不要拘泥一些小的细节。好了，

熊猫烧香病毒的初始化部分分析就到这里了。