熊猫烧香病毒分析报告

星夢妙者

发布时间：2025-08-21 08:26:45

399人浏览过

来源于php中文网

原创

大家好，我们又见面了，我是你们的朋友全栈君。

1．样本概况1.1 样本信息（1）病毒名称：spo0lsv.exe

（2）所属家族：熊猫烧香

（3）MD5值：B8F8E75C9E77743A61BBEA9CCBCFFD5D

（4）SHA1值：188FC8FC580C0EA4BF8A8900A3D36471823C8923

（5）CRC32：E63D45D3

（6）病毒行为：

将自身复制到系统目录

设置文件属性为隐藏，并且阻止用户查看隐藏文件

修改注册表

添加自身到启动项，实现开机自启动

修改PE文件

覆盖PE文件

检测并关闭杀毒软件

删除杀毒软件的启动项

通过139和445端口感染局域网内的其他计算机

设置定时器，定期执行恶意行为

从指定网站下载数据包

1.2 测试环境及工具测试环境：Windows 7 32位

工具：火绒剑，IDA，OD

1.3 分析目标寻找病毒行为的具体实现代码，理解病毒行为的实现原理，了解病毒对机器的具体执行行为，进一步评估病毒对宿主机器的威胁程度。

2．具体行为分析2.1 恶意程序的功能框架第一部分：

熊猫烧香病毒分析报告第二部分：

熊猫烧香病毒分析报告第三部分：

熊猫烧香病毒分析报告 2.2 恶意程序的主要行为以及对用户的危害（1）遍历进程、线程、模块和堆

熊猫烧香病毒分析报告（2）检测杀毒软件

病毒会检测当时流行的杀毒软件，包括McAfee、金山毒霸、冰刃、江民、瑞星以及卡巴斯基等。

熊猫烧香病毒分析报告各个杀毒软件的可执行程序名称

熊猫烧香病毒分析报告（3）删除杀毒软件在注册表中的值

通过火绒剑可以观察到病毒定期检测并删除杀毒软件在注册表中的自启动选项。

熊猫烧香病毒分析报告（4）修改注册表，添加自身到自启动列表中

病毒将文件属性设置为隐藏，阻止通过文件夹属性设置显示隐藏文件，同时将自身的一个可执行程序加入到启动项中，使其能够开机自启动。

熊猫烧香病毒分析报告修改注册表项的值

熊猫烧香病毒分析报告删除自启动

熊猫烧香病毒分析报告（5）有网络相关操作，从指定地址下载文件

关键API为URLDownloadToFileA，该API能从指定URL读取内容并保存到指定文件中。

（6）运行inf配置文件

在autorun.inf文件中会启动setup.exe，setup.exe会进行后续其他操作。

熊猫烧香病毒分析报告（7）通过CMD命令取消系统中的共享

熊猫烧香病毒分析报告（8）修改宿主机器中的文件，更换文件图标

熊猫烧香病毒分析报告（9）修改PE文件内容

Sora

Sora是OpenAI发布的一种文生视频AI大模型，可以根据文本指令创建现实和富有想象力的场景。

下载

PE文件的内容被更改，中间插入了部分代码。

将最后的内容修改成：＂WhBoy＂+文件名+＂.exe＂+随机值。

熊猫烧香病毒分析报告修改文件内容结尾，可通过010editor查看

熊猫烧香病毒分析报告（9）病毒自校验

在关键主体函数执行前有字符串的校验，校验通过后才会执行下面三个关键主体函数

熊猫烧香病毒分析报告三个关键函数

熊猫烧香病毒分析报告（10）复制文件，运行程序

程序会在C:\Windows\System32\drivers目录下拷贝一个文件，文件名为spo0lsv.exe。

复制文件到指定目录下

熊猫烧香病毒分析报告已复制的文件

熊猫烧香病毒分析报告在拷贝文件完成之后，病毒就会利用WinExec来运行指定的应用程序，之后spo0lsc.exe就会被运行起来，原来的进程会被结束。

熊猫烧香病毒分析报告（11）设置定时器

第二个关键函数中有一个定时器，第三个关键函数中有三个定时器，一共用到了7个定时器。

熊猫烧香病毒分析报告第一个定时器：

判断每个盘的根目录下是否存在autorun.inf和setup.exe，若不存在，创建autorun.inf文件并且填充内容；复制setup.exe，设置两个文件属性为隐藏。

熊猫烧香病毒分析报告配置文件的内容

熊猫烧香病毒分析报告第二个定时器：

通过遍历窗口结束指定进程，一旦检测到其中任意一个窗口存在，就会将其关闭。若想查看进程，需要用到tasklist命令，结束进程可以用taskkill命令。

熊猫烧香病毒分析报告第三个定时器：

通过连接网络来更新，从网上下载数据。

熊猫烧香病毒分析报告第四个定时器：

通过命令行，实现关闭共享。

熊猫烧香病毒分析报告第五个定时器：

使一系列的杀毒软件启动项设置失效，保护自身不被杀毒软件检测出来

熊猫烧香病毒分析报告第六个和第七个定时器：

通过网络访问相关API来从网络上获取数据。

熊猫烧香病毒分析报告 3．解决方案3.1 提取病毒的特征，利用杀毒软件查杀病毒特征：

字符串：***武*汉*男*生*感*染*下*载*者***

Whboy

3.2 手工查杀步骤（1）结束进程spo0lsv.exe，可通过cmd命令tasklist和taskkill结束进程

（2）在cmd中输入msconfig打开启动项管理，把svcshare这个启动项关闭

（3）打开注册表,找到：

HKLM\Microsoft\Windows\CurrentVersion\Explore/Advanced/Folder\Hidden\SHOWALL\CheckValue

将CheckValue的值设置为1

（4）在资源管理器中设置显示隐藏文件，把autorun.inf和autorun.exe删除

（5）在C:\Windows\system32\drivers\目录下找到spo0lsv.exe，删除文件

（6）清除每个盘符下的Desktop.ini

windows更新在哪里打开？更新与安全设置入口详解

Win11怎么关闭防火墙_Windows Defender防火墙关闭教程

Win11无法访问共享文件夹怎么办_Win11局域网共享设置教程【网络】

windows激活工具免费版推荐？Win11/10永久激活工具安全免费版教程

Win7安装时桌面分辨率不对_装显卡驱动调整【攻略】

相关专题

js 字符串转数组

js字符串转数组的方法：1、使用“split()”方法；2、使用“Array.from()”方法；3、使用for循环遍历；4、使用“Array.split()”方法。本专题为大家提供js字符串转数组的相关的文章、下载、课程内容，供大家免费下载体验。

258

2023.08.03

js截取字符串的方法

js截取字符串的方法有substring()方法、substr()方法、slice()方法、split()方法和slice()方法。本专题为大家提供字符串相关的文章、下载、课程内容，供大家免费下载体验。

208

2023.09.04

java基础知识汇总

java基础知识有Java的历史和特点、Java的开发环境、Java的基本数据类型、变量和常量、运算符和表达式、控制语句、数组和字符串等等知识点。想要知道更多关于java基础知识的朋友，请阅读本专题下面的的有关文章，欢迎大家来php中文网学习。

1465

2023.10.24

字符串介绍

字符串是一种数据类型，它可以是任何文本，包括字母、数字、符号等。字符串可以由不同的字符组成，例如空格、标点符号、数字等。在编程中，字符串通常用引号括起来，如单引号、双引号或反引号。想了解更多字符串的相关内容，可以阅读本专题下面的文章。

619

2023.11.24

java读取文件转成字符串的方法

Java8引入了新的文件I/O API，使用java.nio.file.Files类读取文件内容更加方便。对于较旧版本的Java，可以使用java.io.FileReader和java.io.BufferedReader来读取文件。在这些方法中，你需要将文件路径替换为你的实际文件路径，并且可能需要处理可能的IOException异常。想了解更多java的相关内容，可以阅读本专题下面的文章。

550

2024.03.22