• :
  • [病毒分析学习帖]看火眼如何一步一步让鬼影病毒原形毕露!-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [病毒分析学习帖]看火眼如何一步一步让鬼影病毒原形毕露!

    [复制链接]

    该用户从未签到

    发表于 2012-8-17 16:47:22 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    本帖最后由 幺猫 于 2012-8-17 19:57 编辑

    某公司称http://www.9173wg.com 中存在鬼影捆绑的外挂,经过深入调查发现,该站提供的外挂基本全都捆绑着大量病毒,而且还包含鬼影病毒!
    “CF蜗牛外挂”是从该网站下载的一个外挂,包含鬼影病毒!看火眼如何一步一步让它原形毕露:



    cf蜗牛透视.exe
           图片1.png
    引用页 :http://www.9173wg.com/soft/875.html
    下载地址: http://www1.9173wg.com/8.0/cfwoniu.rar
    这个外挂都做了些什么事情?如何通过最简单的工具找到含有鬼影的母体是谁?



    第一步   

    果断把“CF蜗牛透视.exe”上传火眼
    火眼分析“CF蜗牛透视”报告:http://fireeye.ijinshan.com/analyse.html?md5=52bb4df9e091a7a0c27e62481966f181
    火眼报告中,丝毫没有看到修改MBR等操作,但是有一个点引起了我们的注意。

    图片2.png
    他在下载IP.EXE

    结论:蜗牛外挂原来是个下载器,下载了一个病毒文件:IP.EXE。那IP.EXE又为何物?


    第二步
    分析“蜗牛外挂”下载的病毒文件:“IP.EXE”
    ip.exe 图片3.png
    火眼分析“ip.exe”报告地址: http://fireeye.ijinshan.com/analyse.html?md5=a54f2329b061d74e13be78b5ef60911a
    图片4.png

    结论:ip.exe与蜗牛外挂一样,原来也只是个下载器,又下载了三个文件。再分别看看这三个文件。

    第三步
    分析“ip.exe”下载的三个病毒文件:Ma.exe9kuwxin.exe和P01.exe
    1、Ma.exe 图片5.png
    火眼分析Ma.exe报告地址:http://fireeye.ijinshan.com/analyse.html?md5=337f0e6143329db569de395c8e29d6dc
    图片6.png
    结论:这个不是鬼影,也不是下载器,但是确认了它是一个远程控制木马。

    2、9kuwxin.exe 图片7.png
    火眼分析9kuwxin.exe报告地址:http://fireeye.ijinshan.com/analyse.html?md5=485c37ae5b64ba01601db4747b7bfdf5
    图片8.png
    从火眼报告中看到和淘宝有关系,现在用记事本打开这个病毒
    图片9.png
    结论:可以看到劫持系统的pid,该病毒应该是淘宝客病毒。

    3、P01.exe 图片10.png
    火眼分析P01.exe 报告地址http://fireeye.ijinshan.com/analyse.html?md5=b21378b3fea88d87d0f6855b9c3f2146
    图片11.png
    从火眼报告中,丝毫没有看到鬼影的情况,到底问题出在哪里呢?
    我们注意到火眼报告中“访问网址”这个信息。

    他去访问这两个图片是打算干嘛呢?一般情况病毒访问这个,应该是读取了相关信息。我们去访问一下看看
    图片12.png
    访问后,发现果然是假的图片,那么我们把这两个图片下载回来看看。
    图片13.png
    看到了两个下载地址,这两个js都是pe文件,我们可以断定,这个程序也是一个病毒下载器。
    是用来下载2个a.js的两个木马,那么我们进一步进行分析,把baobei.mao110中的a.js叫110a.js,把z.qq3600中的a.js叫3600a.js
    继续对他们进行分析

    第四步
    分析P01.exe 文件间接下载的两个文件:110a.js3600a.js
    1、110a.js 图片14.png
    火眼分析110a.js 报告地址: http://fireeye.ijinshan.com/analyse.html?md5=0f11e3992184f4bf6e678a53e7eda79b
    图片15.png
    从报告可以看出,这就是一个AV终结者,对抗安全软件,但是从这个病毒的行为来看,应该是很老的一个av终结者,可以追溯到2010年,并且它还会下载大量病毒。
    继续看火眼报告:
    图片16.png
    果然是一个下载器:
    hxxp://baobei.mao110.com:9999/a.txt
    他会下载以下病毒。
    http://baobei.mao110.com:9999/Best/saobiwujiqq.exe
    http://baobei.mao110.com:9999/Best/saobiwujidnf.exe
    http://baobei.mao110.com:9999/Best/saobiwuji2.exe
    http://baobei.mao110.com:9999/Best/saobiwuji3.exe
    http://baobei.mao110.com:9999/Best/saobiwuji4.exe
    http://baobei.mao110.com:9999/Best/systtm.exe
    http://baobei.mao110.com:9999/Best/false.exe
    http://baobei.mao110.com:9999/Best/ggr.exe
    但是目前看来,还没有看到鬼影病毒,却发现越来越多的其他病毒,我们继续看他下载的这些文件。

    1.1  Saobiwuji*.exe的一坨文件
    图片17.png
    我们发现病毒用saobiwuji* 命名,按照病毒集团人的习惯来说,这一大坨应该都是一个类型的盗号木马。
    通过火眼的分析报告我们证实了这一点
    报告地址依次为:
    这一大坨病毒文件会盗取dnf、cf、qq、魔域等游戏帐号密码。
    图片18.png
    再继续看其他的

    1.2  Ggr.exe 图片19.png
    火眼分析Ggr.exe报告地址: http://fireeye.ijinshan.com/analyse.html?md5=0128595abdb1f18c8f899486799e79d1
    图片20.png
    从火眼报告中看不出来太多关于ggr.exe的信息。我们继续通过记事本看看该文件。
    图片21.png
    从记事本中看到相关的信息,看来这个病毒是关于QQ空间相关信息的读取和盗取。

    1.3  Systtm.exe 图片22.png
    火眼分析Systtm.exe报告地址: http://fireeye.ijinshan.com/analyse.html?md5=21e646e152c181f61516558395ce9d4c
    图片23.png
    这个病毒很简单了,篡改浏览器的首页。火眼日志一览无余。

    1.4  False.exe 图片24.png
    火眼分析False.exe报告地址: http://fireeye.ijinshan.com/analyse.html?md5=7efab5750605806bc18c5ec89096d093
    图片25.png
    从火眼日志来看,这个病毒应该也是一个av终结者的病毒,并且带有下载功能,这个文件继续看下去,但没看出有什么问题。估计还得继续跟进分析。

    这些除了盗号,但是没有看到相关的鬼影操作的情况,难道就是最后的false.exe是鬼影?
    这时候,大家还记得3600a.js么,对这个文件我们还没有分析呢。
    我们转头看看这个文件把。

    2、 3600a.js 图片26.png
    火眼分析 3600a.js 报告地址: http://fireeye.ijinshan.com/analyse.html?md5=b3019a8ae7751578d510357505e7da84
    从火眼报告看,该文件和110a.js是同一个下载器。只是下载的目标下载地址不同。
    图片27.png
    http://z.qq3600.com:9099/a.txt
    里面下载以下文件。

    http://z.qq3600.com:9099/Best/saobiwujiqq.exe
    http://z.qq3600.com:9099/Best/saobiwujidnf.exe
    http://z.qq3600.com:9099/Best/saobiwuji2.exe
    http://z.qq3600.com:9099/Best/saobiwuji3.exe
    http://z.qq3600.com:9099/Best/saobiwuji4.exe
    http://z.qq3600.com:9099/Best/saobiwuji5.exe
    http://z.qq3600.com:9099/Best/systtm.exe
    http://z.qq3600.com:9099/Best/false.exe
    http://baobei.mao110.com:9999/Best/1001.exe
    http://z.qq3600.com:9099/Best/ggr.exe

    从表面看,下载的内容和刚才的110a.js中的差不多,这里就不说了,只不过换了一个域名而已。但是里面有个小细节,引发了我的注意。

    即1001.exe


    第五步
    分析3600a.js  下载 的1001.exe文件
    1001.Exe 图片28.png
    在一群盗号木马中的另类,一般要么是下载器母体,要么就是另外的牛逼病毒。
    用记事本打开初步看一下:

    图片29.png


    这个家伙竟然加了vmp壳!其他木马都没有加猛壳,就这个加了,说明这个里面有很多不想让我们知道的秘密!果断上传火眼看看!
    火眼分析 1001.exe 报告地址: http://fireeye.ijinshan.com/analyse.html?md5=297de74cb20a975efaf20cd88fddf270

    图片30.png


    火眼果然很厉害,看到了吧,这个果然是鬼影病毒!!感染beep.sys以及感染Mbr!!我们分析了那么久,终于逮住他这个鬼影了。
    看看该鬼影干了什么事
    图片31.png
    该鬼影主要内容在safemon.dll中,该文件需要重起后释放,所以火眼目前没有监控到该文件。
    而下面则是调用导航,弹出广告。



    {:soso__5146649187137572847_4:}总结
    该病毒利用了多个病毒下载器多层串联进行下载,甚至利用2010年的老av终结者进行串联,看来这个病毒集团已经是非常老手了,从另外一个表象,这个病毒集团非常贪婪。给用户下载鬼影,若干盗号器,远控木马,篡改浏览器首页等等一系列操作。中了该毒的人,估计只能卡的无奈重装系统,但是由于中了鬼影,那么即便重装系统也没有用,所以依然还会反复中毒。



    从头看到尾,对病毒分析的方法有所了解了吧~?有了火眼,再多层串联再复杂的病毒也无妨~{:soso__2078105330568630155_2:}


    点评

    牛逼了~~  发表于 2012-9-2 21:47
    支持【火眼】!为【幺猫】金山工作人员加油!  发表于 2012-8-17 17:47

    评分

    参与人数 4威望 +30 元宝 +1 收起 理由
    木马真坑人 + 1 很给力!
    高压气瓶 + 10 辛苦了!
    sxyuqiao + 10 辛苦了,坑爹的小病毒下载这么多
    Lintel + 10 很给力!

    查看全部评分

    本帖被以下淘专辑推荐:

    使用道具 举报 回复
    太详细了,膜拜娜姐!
    使用道具 举报 回复 支持 反对
    支持分析贴!
    使用道具 举报 回复 支持 反对
    支持科普!
    使用道具 举报 回复 支持 反对
    很细腻啊,太棒了!
    使用道具 举报 回复 支持 反对
    支持【火眼】!为【幺猫】金山工作人员加油!
    使用道具 举报 回复 支持 反对
    占楼
    使用道具 举报 回复 支持 反对
    很好。。很强大!!
    使用道具 举报 回复 支持 反对
    本帖最后由 山山影迷 于 2012-8-17 18:39 编辑

    佩服,学习了。
    链接用青绿色有点刺眼,可以使用默认颜色。

    点评

    好的哦~  发表于 2012-8-17 19:33
    使用道具 举报 回复 支持 反对
    楼主太强大了
    使用道具 举报 回复 支持 反对
    支持火眼。
    使用道具 举报 回复 支持 反对
    支持火眼、、
    使用道具 举报 回复 支持 反对
    支持
    使用道具 举报 回复 支持 反对
    学习
    使用道具 举报 回复 支持 反对
    娜娜姐v5
    使用道具 举报 回复 支持 反对
    顶一个,回帖加经验
    使用道具 举报 回复 支持 反对
    支持火眼 顶一下
    使用道具 举报 回复 支持 反对
    多谢分享  学习啦  ...
    使用道具 举报 回复 支持 反对
    {:soso_e181:}
    使用道具 举报 回复 支持 反对
    隐藏这么深,无语了,这种病毒
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则