病毒木馬清除實戰第003篇：熊貓燒香之行為分析

前言

        為了分析“熊貓燒香”病毒的行為，我這裡使用的是Process Monitor v3.10版。關于這款軟體的使用，可參考以下三篇文章：

        《文檔翻譯第001篇：ProcessMonitor幫助文檔（Part 1）》

        《文檔翻譯第002篇：ProcessMonitor幫助文檔（Part 2）》

        《文檔翻譯第003篇：ProcessMonitor幫助文檔（Part 3，附ProcessMonitor的簡單示範）》

        行為分析的目的，是為了編寫出病毒的專殺程式。當然，由于現實環境的種種限制，可能無法發現病毒的所有行為，這些我都會在文章中進行說明。

對“熊貓燒香.exe”程序樹的監控分析

        這裡我将病毒和Process Monitor v3.10複制到之前配置好的虛拟機中，并做好備份。然後先打開Process Monitor，在篩選條件中将“熊貓燒香.exe”加入到篩選器的“Process Name”中，然後運作病毒，首先可以檢視一下程序樹：

圖1 檢視程序樹

        在程序樹中可以發現，“熊貓燒香.exe”衍生出了“spoclsv.exe”。衍生出的程序又打開了兩次“cmd.exe”。第一次運作的指令是“cmd.exe /c net share C$ /del /y”，它的意思是在指令行模式下删除C槽的網絡共享，執行完後關閉cmd.exe。因為我的系統隻有一個C槽，是以有理由相信，這個病毒應該是會關閉系統中所有的盤的網絡共享。第二次運作的指令是“cmd.exe /c net share admin$ /del /y”，這裡取消的是系統根目錄的共享。那麼由此就可以總結出病毒的兩點行為：

        病毒行為1：病毒本身建立了名為“spoclsv.exe”的程序，該程序檔案的路徑為“C:\WINDOWS\system32\drivers\spoclsv.exe”。

        病毒行為2：在指令行模式下使用net share指令來取消系統中的共享。

對“熊貓燒香.exe”系統資料庫監控分析

        對于系統資料庫的監控，我們發現隻有一項需要注意：

圖2 “熊貓燒香.exe”對系統資料庫的寫入

        系統資料庫的這個位置主要用于随機數種子的生成，僅僅依靠這條資訊是無法推測病毒的行為的，是以可以認為“熊貓燒香.exe”對于系統資料庫沒有什麼實質的影響。

對“熊貓燒香.exe”檔案監控分析

        對于檔案的監控，也隻有一條需要注意：

圖3 “熊貓燒香.exe”建立檔案

        可見，“熊貓燒香.exe”在“C:\WINDOWS\system32\drivers”中建立了“spoclsv.exe”，其它再無可疑操作，那麼可以認為，這個病毒真正的破壞部分是由“spoclsv.exe”實作的，那麼接下來的工作就是專門監控這個程序。

對“spoclsv.exe”系統資料庫監控分析

        這裡需要将程序名為“spoclsv.exe”的程序加入篩選器進行分析。一般來說，病毒所産生的操作會比較多，是以我這裡為了便于讨論，我每次隻會列出幾項操作進行顯示，其它的操作就由篩選器排除掉。首先可以檢視一下“RegDeleteValue”這個操作：

圖4 監控系統資料庫中的“RegDeleteValue”操作

        可見病毒程式将當時幾乎所有的安全類工具的自啟動項給删除了，就有：

        病毒行為3：删除安全類軟體在系統資料庫中的啟動項。

        然後隻保留“RegCreateKey”與“RegSetValue”進行分析：

圖5 建立自啟動項

        可見，病毒程式為自身建立了自啟動項，使得每次啟動計算機就會執行自身，則有：

        病毒行為4：在系統資料庫“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”中建立“svcshare”，用于在開機時啟動位于“C:\WINDOWS\system32\drivers\spoclsv.exe”的病毒程式。

        接下來還有：

圖6 使檔案隐藏

        對系統資料庫的這個位置進行設定，能夠實作檔案的隐藏。此處進行設定後，即便在“檔案夾選項”中選擇“顯示所有檔案和檔案夾”，也無法顯示隐藏檔案，則有：

        病毒行為5：修改系統資料庫，使得隐藏檔案無法通過普通的設定進行顯示，該位置為：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL，病毒将CheckedValue的鍵值設定為了0。

        至此，系統資料庫部分就基本分析完畢了。

對“spoclsv.exe”檔案監控分析

        檔案的監控，主要看的是病毒是否将自己複制到其他目錄，或者建立删除了哪些檔案等，監控如下所示：

圖7 監控檔案操作

        在圖中可以看到，病毒檔案在“C:\WINDOWS\system32\drivers”中建立了“spoclsv.exe”這個檔案，在C槽根目錄下建立了“setup.exe”與“autorun.inf”，并且在一些目錄中建立了“Desktop_.ini”這個檔案。由于建立這些檔案之後就對系統資料庫的SHOWALL項進行了設定，使得隐藏檔案無法顯示，那麼有理由相信，所建立出來的這些檔案的屬性都是“隐藏”的，于是有：

        病毒行為6：将自身拷貝到根目錄，并命名為“setup.exe”，同時建立“autorun.inf”用于病毒的啟動，這兩個檔案的屬性都是“隐藏”。

        病毒行為7：在一些目錄中建立名為“Desktop_.ini”的隐藏檔案。

對“spoclsv.exe”網絡監控分析

        現在隻進行網絡監控，來檢視病毒是否有聯網動作：

圖8 監控網絡操作

        從監控結果可以看到，病毒會向“124.16.31.148”發送并接收資訊，并不斷嘗試連接配接“10.0.2.X”即區域網路中的其它計算機，于是有：

        病毒行為8：向外發包，連接配接區域網路中其他機器。

小結

        至此，我們已總結出病毒的8點行為，在分析的過程中，我基本上是一語帶過，主要是因為病毒比較簡單，加上它在Process Monitor面前也是無所遁形。但是請大家注意，以上8點不代表就是病毒的所有行為，因為更加詳細的結論是要通過逆向分析才能得出的。而通過上述的分析結果，我們就可以着手專殺工具的編寫了，這将會在下一篇文章中詳述。