熊猫烧香之行为分析

Process Monitor 设置过滤器process name is setup.exe

运行setup.exe捕捉到所有行为

Tools –process tree查看进程树

程序创建了一个spoclsv.exe,路径在system32/drivers下

之后由它调用了几次cmd命令

其中一个命令是:cmd.exe /c net share C$ /del /y

此命令是在命令行模式下删除C盘的网络共享,执行完后关闭cmd.exe

还有一条命令为 cmd.exe /c net share admin$ /del /y

表示取消系统根目录的共享

查看注册表RegSerValue设置注册表值得操作,在RNG\Seed中对随机数生成器的种子Seed有影响

查看文件操作CreateFile中,在system32\drivers\下创建了spoclsv.exe文件

之后分析spoclsv.exe文件执行的行为

查看注册表RegDeleteValue删除项,程序会尝试搜索目标机器安装的杀毒软件,然后将其自启动的注册表值删除

查看注册表RegCreateKey和RegSetValue值,发现设置键值svcshare的开机自启动

指向spoclsv.exe所在的路径

修改Hidden\SHOWALL\CheckedValue键值

CheckedValue = 0

隐藏文件不能通过文件夹选项中的“显示所有文件和文件夹”看到

文件创建CreateFile操作,在system32\drivers\下创建spoclsv.exe

在C盘根目录下创建autorun.inf和setup.exe等

在某些目录下创建Desktop_.ini文件,这些创建的文件都是隐藏属性

查看网络行为,不断尝试对局域网其他机器进行连接

您可能还喜欢...