熊猫烧香_汇编级_超详细分析
1.样本概况 1.1 应用程序信息 文件: C:\Windows\System32\drivers\spo0lsv.exe 大小: 30001 bytes 修改时间: 2007年1月17日, 12:18:40 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 简单功能介绍: \1. 自启动 \2. 删除gho文件 \3. 全盘感染指定类型文件 \4. 局域网传播 \5. 从网络下载其他恶意文件执行 \6. 删除安全管理软件服务、启动项 \7. 其他 说明: 该样本是熊猫烧香的一个变种spo0lsv.exe,高危险级别 1.2 分析环境及工具 系统环境:windows 7 32bit 工具:火绒剑、PcHunter、IDA、OllyDebug 1.3 分析目标 使用火绒剑进行行为分析,结果如下: \1. 文件操作 图 1 - 1 分析:在各敏感路径创建了spo0lsv.exe、setup.exe、autorun.inf、Desktop_.ini等文件并写入了内容。其作用暂时不明,待后面具体分析。 \2. 注册表操作 图 1 - 2 分析:注册表操作很多,能只管看出的是在启动项下创建了新的键值,以及设置了隐藏属性。 \3. 网络操作 图