首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

熊猫烧香病毒简析

熊猫烧香从2007年1月肆虐网络到现在。已经过了查不多4个年头了。病毒的作者李俊现在也从监狱里被放了出来。...在当时熊猫烧香确实给大家一个意外,它采用了一种新的方式对计算机的程序和系统造成了很严重的破坏。 其实我的这篇文章也不叫什么分析,只是说简单的简析。...我只是简单的对病毒的机理简单的概述下,然后列出一些简单的查杀方案。熊猫烧香是一种经过多次变种的蠕虫病毒。它可以通过下载文档,查看受感染的网页进行感染。...他的最大创新在于,感染全盘的.exe文件和删除系统的.gho文件,并且将所有.exe文件的图标变成一只举着三根香的熊猫。...解决方案大致是: 1.结束病毒进程 2.删除病毒相关文件 3.删除病毒启动项 4.删除更目录病毒文件 5.恢复受感染的文件或程序 6.也可以采用专杀工具进行查杀 版权声明:本文内容由互联网用户自发贡献,

2.3K30

病毒熊猫烧香病毒分析

作者丨黑蛋一、病毒简介病毒名称:熊猫烧香文件名称:40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496文件格式:EXEx86文件类型...section_name_exception,lang_chinese,timestamp_exception二、环境准备虚拟机调试器安全软件Win7x86x32dbg、OD火绒剑三、程序脱壳首先修改病毒后缀为...call回车进jmp,然后右键数据跟随选择地址:然后在这里看一下IAT表偏移,大小,再把7FFFFFFF改成00000000,然后打开插件,写入OEP:脱壳成功:四、行为分析首先拍个快照,为了更好的查看熊猫行为...,咱赋予他管理员权限,然后把熊猫添加到信任区,最后打开火绒剑开启监控,过滤掉其他进程:然后简单的进行一下动作过滤,主要是行为监控,注册表创建,文件创建等:可以看到主要是释放了一个文件,C:\Windows...5.3.6、第六个计时器首先跟进箭头函数,可以看到是一些网络操作,读取创建等操作:返回上一步向下看,同样是一些下载东西,创建文件,然后启动等操作:​六、总结此病毒是加了一个壳,然后需要脱壳修复IAT表,

4.6K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    熊猫烧香病毒分析报告

    1.样本概况 1.1 样本信息 (1)病毒名称:spo0lsv.exe (2)所属家族:熊猫烧香 (3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D (4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923...,了解病毒行为的具体实现原理,知道病毒对机器的执行具体行为,进一步评估病毒对于宿主机器的威胁程度。...各个杀毒软件的可执行程序名称 (3)删除杀毒软件在注册表中的值 通过火绒剑能观察到病毒每隔一段时间就有检测并且删除杀毒软件在注册表中的自启动选项。...复制文件到指定目录下 已复制的文件 在拷贝文件完成之后,病毒就会利用WinExec来运行指定的应用程序,之后spo0lsc.exe就会被运行起来,原来的进程会被结束。...3.解决方案 3.1 提取病毒的特征,利用杀毒软件查杀 病毒特征: 字符串: ***武*汉*男*生*感*染*下*载*者*** Whboy 3.2 手工查杀步骤 (1)结束进程spo0lsv.exe,可通过

    1.9K10

    熊猫烧香(中)病毒释放机理

    熊猫烧香(中)病毒释放机理 1、sub_40277C子函数 2、sub_405684子函数 3、sub_403ED4子函数 4、sub_4057A4子函数 5.分析sub_4057A4后续删除功能 6....的位置 这里我们看到了3个函数,这3个call是熊猫烧香病毒最重要的功能 第三步,查看cub_408024neirong 在这个函数最开始的位置我没看到了,将84h的值赋值给ecx,84h表示循环次数...结合病毒来看,它找斜杠的位置,其实这段程序要么是想不包含病毒文件名的路径,要么想获取病毒的文件名(setup.exe)。...正常来讲,病毒还没有运行的时候,这个Desktop_.ini文件应当是不存在的;如果存在的话,病毒首先会改变这个文件的属性,再将这个病毒给删除掉。...这些信息有助于我们获取病毒的行为信息,只有当我们深入分析其原理和实现过程,才有助于我们获取病毒的行为信息。

    10010

    哈哈,我把熊猫烧香病毒扒了!

    另外,该病毒还会从网络上下载其他恶意软件或者广告软件,达到制作者的目的。 3.2 程序对用户造成的危害 全盘文件感染和gho备份删除并感染其他网络主机。...3.2 安装和运行部分 检测当前目录是否存在Desktop_.ini文件,如果存在则删除,该文件保存病毒感染当前目录的日期。...接着,病毒会通过检查文件路径、病毒感染标志来确定进当前病毒属于以下三种情况的哪一种情况。进程本身属于原始病毒文件、被感染的可执行文件、以及伪装目标进程三种情况。...原始病毒文件 拷贝自身到 ~/system32/driver/目录,重命名为spcolsv.exe并运行,然后结束当前进程。...病毒的感染标识 感染PE文件后,会在文件的末尾写上标志,格式为: WhBoy+ 源文件名 + 0x2标记 + 源文件大小+0x1标记 感染文件结构 病毒文件 + 原始文件 + 标记字符串 3 感染web

    2.1K40

    练手之经典病毒熊猫烧香分析(上)

    扯犊子 熊猫烧香病毒在当年可是火的一塌糊涂,感染非常迅速,算是病毒史上比较经典的案例。不过已经比较老了,基本上没啥危害,其中的技术也都过时了。作为练手项目,开始对熊猫烧香病毒进行分析。...首先准备好病毒样本(看雪论坛有),VM虚拟机和Xp Sp3系统。...首先我们在XP Sp3虚拟机中打开Process Monitor ,然后运行panda.exe病毒,这时候就开始监听熊猫烧香的一举一动。 ?...Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue设置为1 最后使用MFC编写了一个熊猫专杀工具...6.总结 通过行为监控的方式完成了对熊猫烧香病毒的查杀,不过还不够彻底。那些被感染的exe文件,我们还没有恢复,如果想要进一步的研究,下一节我们对病毒进行逆向,看它是如何感染的。

    2.5K30

    【二进制安全】熊猫烧香病毒分析

    熊猫烧香这个病毒虽然过去很久了,但是这个病毒值得研究,在病毒出现的这个年代因为安全意识普遍不强,导致大范围被感染。...4.病毒会检测杀毒软件和防火墙 ? 5.这里进行了第二次解密,操作与第一相似。判断完解密结果后,我们会进入病毒三大功能函数,分别进行病毒初始化操作,病毒感染操作、病毒自我保护操作。 ? ?...7.本病毒会将自身拷贝到其他文件进行感染,被感染的文件会执行病毒代码,所以这里的代码部分是在区分是不是病毒母体程序正在运行,还是被感染过的文件,感染过的文件有感染标记位于读取文件信息的最后一个字节: ?...在将病毒文件拷贝到网络共享文件夹中。 ? ? 22.病毒主流程第三个功能函数病毒函数自保护sub_40CED4 :VirusProtectSelf 病毒自保护函数可以看到病毒设置了4个时钟函数。 ?...0x06结束语 熊猫烧香病毒其实没有那么强,只不过病毒封装方面强一些。

    3.1K30

    自己手动复现一个熊猫烧香病毒

    自己手动复现一个熊猫烧香病毒 起因 最近逛了一下 bilibili ,偶然的一次机会,我在 bilibili 上看到了某个 up 主分享了一个他自己仿照熊猫病毒的原型制作的一个病毒的演示视频,虽然这个病毒的出现距离现在已经十多年之久了...我觉得蛮有意思的,有必要深究一下,所以我花上几天的时间研究了一下熊猫烧香病毒的源码,仿照熊猫烧香病毒原型,也制作了一个类似的软件,实现的源码我会在文章的末尾给出 GitHub 项目链接,喜欢的朋友不要忘记给我一个...熊猫烧香的介绍 熊猫烧香是一个感染性的蠕虫病毒,它能感染系统中的 exe ,com ,pif,src,html,asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件,该文件是一系统备份工具...如果有同学对熊猫烧香的来源感兴趣的话,可以看看中科大写的关于熊猫烧香的案件分析:由“熊猫烧香”谈起 病毒结构分析 ?...这里我使用 MFC 进行“熊猫烧香病毒专杀工具的开发,绘制界面如下图所示: ? 那么我们该如何编写这个专杀工具呢?

    7.2K21

    十四.熊猫烧香病毒IDA和OD逆向分析(下)病毒配置

    熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。...本文主要学习姜晔老师视频,结合作者逆向经验进行总结,详细讲解了熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。...[系统安全] 八.那些年的熊猫烧香及PE病毒行为机理分析 六.分析spoclsv.exe 虽说这个程序和“熊猫烧香.exe”是完全一样的,可是毕竟其内部的执行流程是不同的。...同时作者是跟着姜晔老师的视频,一步步逆向分析熊猫烧香病毒的,后续还有WannaCry蠕虫等恶意样本的分析。...PE病毒行为机理分析 [系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化 [系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理 [系统安全] 十三.熊猫烧香病毒IDA

    2.4K30

    十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化

    熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。...这里主要使用的工具包括: PEiD:病毒加壳、脱壳基础性分析 IDA Pro:静态分析 OllyDbg:动态分析 实验文件: setup.exe:熊猫烧香病毒 基本流程: 利用查壳工具检查病毒是否带壳...这次研究的“熊猫烧香”程序并没有加壳,但后续的文章我会详细分享加壳与脱壳的内容,更好地帮助大家理解病毒分析及保护措施。 首先打开PEiD工具人,然后将熊猫烧香病毒拖进去,会发现病毒的基本信息。...这三个call是熊猫烧香病毒最重要的功能,我们下一篇论文继续分析。...PE病毒行为机理分析 [系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化 同时补充作者制作的熊猫烧香病毒逆向关系图,希望对您有帮助。

    2.2K40

    十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理

    熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。...本文重点分析熊猫烧香病毒的功能函数,大家掌握这些技巧后才能更好地分析更多的代码。同时,本文部分实验参考姜晔老师的视频分析,真的非常佩服和值得去学习的一位老师。...技术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~ 上一篇文章讲解了“熊猫烧香病毒样本的反汇编代码入口处的分析,接下来我们分析病毒的核心部,其分析思路基本一致,同时越深入核心部分会遇到越多的API...这里主要使用的工具包括: PEiD:病毒加壳、脱壳基础性分析 IDA Pro:静态分析 OllyDbg:动态分析 实验文件: setup.exe:熊猫烧香病毒 基本流程: 利用查壳工具检查病毒是否带壳...三.总结 写到这里,该部分关于sub_408024核心函数的部分功能就介绍完毕,请大家一定要动手跟着调试,先感受下这部分的实验,后面的文章我们将继续分析熊猫烧香病毒感染的过程。

    1.6K20

    恶意代码分析实战六:熊猫烧香病毒样本分析

    熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候,流程都是要先上传杀毒网看看。...简单静态分析 用Strings和Dependency分别对熊猫烧香的字符串和导出表进行分析。...行为分析 进程树监控 这里我们还是用Process Monitor来监控病毒行为,打开Process Monitor,在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中,然后运行病毒...行为总结 熊猫烧香逆向分析 在这里我们利用逆向界的倚天剑和屠龙刀,IDA和OD来对熊猫烧香进行逆向分析,对其内部实现的原理有个了解,因为篇幅关系不会对整个程序彻底分析,而是挑拣一些重要内容进行分析。...③ sub_0040C97C 第3个Call:终止定时器,设置4个新的计时器 学习总结 终于到此熊猫烧香都分析完了,从行为分析开始然后过渡到IDR软件静态分析,x32dbg动态调试分析,分析每个Call

    3.3K20

    熊猫烧香应急处理方法

    熊猫烧香病毒机理分析 (1)自启动方式 熊猫烧香病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项 这种方式也是绝大部分病毒自启动所采用的方式。...b、感染网页 熊猫烧香病毒会查找系统以 .html 和 .asp 为后缀的文件,在里面插入网页标记,这个帧iframe会将另外一个URL嵌入到当前网页,并且宽度和高度设置为0(看不到)。...(3) 自我隐藏 a、禁用安全软件 熊猫烧香病毒会尝试关闭安全软件(杀毒软件、防火墙、安全工具)的窗口、进程,比如包含360的名称等;删除注册表中安全软件的启动项;禁用安全软件的服务等操作。...(4)破坏情况 a、熊猫烧香病毒同时会开另一个线程连接某网站下载DDOS程序进行发动恶意攻击 具有破坏功能,可开启附件攻击行为,熊猫烧香感染计算机台数非常多,它就能发动多台电脑发起DDOS攻击。...实战过程 实验环境: Windows XP 吾爱破解专版 实验文件:setup.exe(熊猫烧香) 手动查杀病毒基本流程 1、排插可疑进程 2、检查启动项 3、删除病毒 4、修复被病毒破坏的文件 第一步

    25710

    熊猫烧香(上)初始分析

    一、病毒初始化 1、工具准备 IDA、OD、PEID 2、基本流程: 利用查壳工具检查病毒是否带壳 利用OD动态分析病毒 利用IDA静态分析病毒 二、PEID加壳检查 首先需要调用工具检查是否带壳,如果病毒还需要先进行脱壳操作...这次研究的“熊猫烧香”程序并没有加壳。首先打开PEiD工具人,然后将熊猫烧香病毒拖进去,会发现病毒的基本信息。...显示结果如下图所示,可以看到“武汉男生感染下载者”,包括“艾玛…”,这就是病毒作者的信息。早些年病毒作者处于炫耀目的,都会加入一些自己的特征。...这三个call是熊猫烧香病毒最重要的功能,我们下一篇文章继续分析。...四、总结 写到这里,熊猫烧香病毒起始阶段的逆向分析就介绍完毕,简单总结如下: 0x0040CB7E call sub_403C98 – 重命名为:AllocStackAndCopyString –

    17010

    十一.那些年的熊猫烧香及PE病毒行为机理分析

    熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。...技术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~ 文章目录: 一.PE病毒概念 二.什么是熊猫烧香病毒 三.熊猫烧香病毒行为分析 四.样本运行及查杀防御 五.Procmon检测病毒行为 作者的...这些病毒事件一方面会警醒我们网络空间安全,另一方面也会督促我们安全人员不断思考和对抗。未知攻,焉知防。 三.熊猫烧香病毒行为分析 熊猫烧香病毒有它的特殊性,也有它的通用性。...下面结合第一部分PE病毒基础知识,介绍熊猫烧香病毒的基本行为。...PE病毒概念 什么是熊猫烧香病毒 熊猫烧香病毒行为分析 样本运行及查杀防御 Procmon检测病毒行为 同时,请读者思考几个问题。 病毒感染了多少文件,重装操作系统是否可以彻底清除病毒

    8.9K60

    YouTube博主实测病毒之王“熊猫烧香”,当年是它太强还是杀毒软件太弱?

    在YouTube上,经常测试各种病毒的栏目“爱比较”就出过几款关于“熊猫烧香”的视频,如今已经有将近十万人观看。 在知乎上,关于“电脑病毒熊猫烧香」当年有多凶残?”的话题被浏览超过了1000万次。...是当年的杀毒软件太弱还是“熊猫烧香”太强? 在“熊猫烧香”爆发一个多月后,国家计算机病毒应急处理中心就发出“熊猫烧香”的紧急预警,彼时几乎所有的杀毒软件对“熊猫烧香”都束手无策。...作为一种蠕虫病毒,“熊猫烧香病毒首先将系统中所有.exe可执行文件全部被改成熊猫的图案,这一步其实是将病毒与用户电脑.exe文件绑定在一起,杀毒软件无法正确的将病毒与.exe分开。...显然不是,病毒并没有消失,只是更加隐蔽了。 李俊当时开发“熊猫烧香病毒,和几个同伙一起才盈利十几万元,他们自己也承认,搞出“熊猫烧香”并不是为了赚钱,而是为了“炫技”。...因此,“熊猫烧香”跟今天的病毒木马造成的危害完全不能相比,今天的病毒木马,大多是看不见的威胁(尽一切可能潜伏并获得经济利益),病毒感染规模远超熊猫烧香的比比皆是,非法收入更是动辄千万元级别。

    3.3K20

    熊猫烧香(下)核心函数部分分析

    熊猫烧香(下)病毒释放过程 1、loc_408171 2、sub_403F8C子函数 3、sub_4060D4子函数 4、CopyFile和WinExe子函数 1、loc_408171 第一步 打开IDA...C:\USERS\14551\DESKTOP\SETUP.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SPOCLSV.EXE 很明显,我们分析的熊猫烧香病毒程序在桌面上,而比对的是DRIVERS...也就是说,它在把当前这个病毒样本复制到drivers目录之后,那么这句代码就是将它执行起来。再往下ExitProcess是结束当前正在运行的进程,即熊猫烧香病毒样本。...注意,当病毒本体将自身复制到“drivers”中并改名后,这里就是对改了名字的病毒程序执行运行的操作,然后主体程序就退出了。...双击后可以看到提示“跳转已实现”,现在这个病毒就以为自己是spoclsv.exe。 第七步,按下F8执行到4082F0位置 真正实现病毒功能的也就是“spoclsv.exe”这个程序。

    12910

    千万不要轻易尝试“熊猫烧香”,这不,我后悔了!

    想必从事互联网行业的小伙伴多多少少都听说过“熊猫烧香”吧,这里,我就不做过多的科普了,不了解的小伙伴在网上搜索一下吧。...作为一名互联网从业者兼具一定渗透经验的我来说,一直想运行下“熊猫烧香”到底是啥效果。...最近,搞到了一份“正版”的“熊猫烧香”,一直想尝试下在自己电脑上运行下,看看曾经风靡一时的“熊猫烧香”运行起来到底是啥效果。这样,才能对其有进一步的了解,才能更好的分析如何来预防这个顽固的“蠕虫”。...运行后,不出意料的出现了类似下面这张图一样的“熊猫烧香”。 ? 注:当时没有拿手机拍照,实际运行过程中,“熊猫烧香”是铺满整个屏蔽的,而且整体是动态效果。我感觉到它已经超出虚拟机控制的范围了。...我强行关闭虚拟机,这货还是在屏幕上“烧香”。我赶紧强制关闭电脑。 试图重启电脑,没想到电脑却陷入了无限重启中。。。 ? ? 电脑陷入了无限重启中,貌似是硬盘坏了?

    1.4K20

    病毒到底是什么,为什么现在很少见到

    这里我们拿过去很出名的一个病毒熊猫烧香举例,首先来介绍一下这个病毒,他是一个exe程序,打开他后,会在C盘中一个文件夹偷偷生成一个程序,然后启动这个子病毒。...子病毒会干什么事呢,他会遍历所有文件,把所有的exe程序感染成自己,图标换成一个熊猫烧香的图案,然后会通过对Windows注册表操作,杀死杀毒软件,并通过侵染web文件进行网络传播,当然熊猫烧香本体还会造成电脑蓝屏...是一款以破坏为目的的病毒。 我们找到一个熊猫烧香,在我们虚拟机中运行,查看一下他的特征,他会在这里生成一个子病毒: 而所有的恶意行为都来源于这个子病毒。...打开很多工具,可以发现都在不断的变成熊猫头像,已经被侵染成子病毒,本体功能已经全部失效。桌面图标也在不断的变成熊猫头像。...抛开熊猫烧香,还有很多奇奇怪怪的病毒,他们会破坏你电脑的任何地方,也会有各种奇奇怪怪的体现。就像比较常见的勒索病毒,他会加密你所有的文件,然后弹出一个框,让你打钱,帮你还原文件等。

    88930

    清明节偷偷训练“熊猫烧香”,结果我的电脑为熊猫“献身了”!

    大家好,我是冰河~~ 最近,很多小伙伴都知道,就在清明节假期的最后一天晚上,我偷练“禁术”——熊猫烧香,结果悲剧了。...下面就给大家分享下,尝试“熊猫烧香”的后续情节。 在尝试“熊猫烧香”之前,我是把电脑所有网卡都禁用了,网线也拔掉了,总之,能够联网的东西全部禁用。...最后,有时间我再研究下“熊猫烧香”的源码,研究它不是为了别的,而是从源码级别充分了解它的感染机制和传播机制,这样才能更好的防御网络病毒,对网络和信息安全贡献一份力量!...这里,我想对小伙伴们说:千万不要轻易尝试“熊猫烧香”!千万不要轻易尝试“熊猫烧香”!千万不要轻易尝试“熊猫烧香”! 我电脑都这样了,小伙伴们还不点赞、在看、转发,三连走一波,安慰下我吗?...特此声明:编译运行“熊猫烧香”前,我已对网络和局域网做了充分的安全保障,不会对外传播。另外,运行“熊猫烧香”程序,纯属个人学习研究,不涉及破坏行为,更不涉及法律风险。

    1.6K20
    领券