看火眼如何一步一步让鬼影病毒原形毕露！

czs2635298

网上看的帖子，感觉不错，跟大家分享一下，很适合我们这种新人学习~
某公司称http://www.9173wg.com 中存在鬼影捆绑的外{过}{滤}挂，经过深入调查发现，该站提供的外{过}{滤}挂基本全都捆绑着大量病毒，而且还包含鬼影病毒！
“CF蜗牛外{过}{滤}挂”是从该网站下载的一个外{过}{滤}挂，包含鬼影病毒！看火眼如何一步一步让它原形毕露：

cf蜗牛透视.exe
         
引用页 :http://www.9173wg.com/soft/875.html
下载地址: http://www1.9173wg.com/8.0/cfwoniu.rar
这个外{过}{滤}挂都做了些什么事情？如何通过最简单的工具找到含有鬼影的母体是谁？



第一步   
果断把“CF蜗牛透视.exe”上传火眼
火眼分析“CF蜗牛透视”报告：http://fireeye.ijinshan.com/analyse.html?md5=52bb4df9e091a7a0c27e62481966f181
从火眼报告中，丝毫没有看到修改MBR等操作，但是有一个点引起了我们的注意。

  、
他在下载IP.EXE

结论：蜗牛外{过}{滤}挂原来是个下载器，下载了一个病毒文件：IP.EXE。那IP.EXE又为何物？

第二步
分析“蜗牛外{过}{滤}挂”下载的病毒文件：“IP.EXE”
ip.exe   
火眼分析“ip.exe”报告地址： http://fireeye.ijinshan.com/analyse.html?md5=a54f2329b061d74e13be78b5ef60911a
  

结论：ip.exe与蜗牛外{过}{滤}挂一样，原来也只是个下载器，又下载了三个文件。再分别看看这三个文件。

第三步
分析“ip.exe”下载的三个病毒文件：Ma.exe 、9kuwxin.exe和P01.exe
1、Ma.exe   
火眼分析Ma.exe报告地址：http://fireeye.ijinshan.com/analyse.html?md5=337f0e6143329db569de395c8e29d6dc
  
结论：这个不是鬼影，也不是下载器，但是确认了它是一个远程控制木马。

2、9kuwxin.exe   
火眼分析9kuwxin.exe报告地址：http://fireeye.ijinshan.com/analyse.html?md5=485c37ae5b64ba01601db4747b7bfdf5
  
从火眼报告中看到和淘宝有关系，现在用记事本打开这个病毒
  
结论：可以看到劫持系统的pid，该病毒应该是淘宝客病毒。

3、P01.exe  
火眼分析P01.exe 报告地址： http://fireeye.ijinshan.com/analyse.html?md5=b21378b3fea88d87d0f6855b9c3f2146
  
从火眼报告中，丝毫没有看到鬼影的情况，到底问题出在哪里呢？
我们注意到火眼报告中“访问网址”这个信息。

他去访问这两个图片是打算干嘛呢？一般情况病毒访问这个，应该是读取了相关信息。我们去访问一下看看
  
访问后，发现果然是假的图片，那么我们把这两个图片下载回来看看。
  
看到了两个下载地址，这两个js都是pe文件，我们可以断定，这个程序也是一个病毒下载器。
是用来下载2个a.js的两个木马，那么我们进一步进行分析，把baobei.mao110中的a.js叫110a.js，把z.qq3600中的a.js叫3600a.js
继续对他们进行分析

第四步
分析P01.exe 文件间接下载的两个文件：110a.js 和3600a.js
1、110a.js  
火眼分析110a.js 报告地址： http://fireeye.ijinshan.com/analyse.html?md5=0f11e3992184f4bf6e678a53e7eda79b
  
从报告可以看出，这就是一个AV终结者，对抗安全软件，但是从这个病毒的行为来看，应该是很老的一个av终结者，可以追溯到2010年，并且它还会下载大量病毒。
继续看火眼报告：
  
果然是一个下载器：
hxxp://baobei.mao110.com:9999/a.txt
他会下载以下病毒。
http://baobei.mao110.com:9999/Best/saobiwujiqq.exe
http://baobei.mao110.com:9999/Best/saobiwujidnf.exe
http://baobei.mao110.com:9999/Best/saobiwuji2.exe
http://baobei.mao110.com:9999/Best/saobiwuji3.exe
http://baobei.mao110.com:9999/Best/saobiwuji4.exe
http://baobei.mao110.com:9999/Best/systtm.exe
http://baobei.mao110.com:9999/Best/false.exe
http://baobei.mao110.com:9999/Best/ggr.exe
但是目前看来，还没有看到鬼影病毒，却发现越来越多的其他病毒，我们继续看他下载的这些文件。

1.1  Saobiwuji*.exe的一坨文件
  
我们发现病毒用saobiwuji* 命名，按照病毒集团人的习惯来说，这一大坨应该都是一个类型的盗号木马。
通过火眼的分析报告我们证实了这一点
报告地址依次为：
http://fireeye.ijinshan.com/analyse.html?md5=19fc9bc648865afeff9814d51e3ae39e
http://fireeye.ijinshan.com/analyse.html?md5=485c9c0798f6c77786622777af58636d
http://fireeye.ijinshan.com/analyse.html?md5=afd8a346054d6ad6a7c35eb08e4dbaee
http://fireeye.ijinshan.com/analyse.html?md5=ac9cc905435d1d5c6f9175de28b17db3
http://fireeye.ijinshan.com/analyse.html?md5=e1514c6136fc7ca1f1c1bc84525aae88
http://fireeye.ijinshan.com/analyse.html?md5=9dccc44d15ee47bbb054455e22e21ae2
这一大坨病毒文件会盗取dnf、cf、qq、魔域等游戏帐号密码。
  
再继续看其他的

1.2  Ggr.exe  
火眼分析Ggr.exe报告地址： http://fireeye.ijinshan.com/analyse.html?md5=0128595abdb1f18c8f899486799e79d1
  
从火眼报告中看不出来太多关于ggr.exe的信息。我们继续通过记事本看看该文件。
  
从记事本中看到相关的信息，看来这个病毒是关于QQ空间相关信息的读取和盗取。

1.3  Systtm.exe   
火眼分析Systtm.exe报告地址： http://fireeye.ijinshan.com/analyse.html?md5=21e646e152c181f61516558395ce9d4c
   
这个病毒很简单了，篡改浏览器的首页。火眼日志一览无余。

1.4  False.exe
火眼分析False.exe报告地址： http://fireeye.ijinshan.com/analyse.html?md5=7efab5750605806bc18c5ec89096d093

从火眼日志来看，这个病毒应该也是一个av终结者的病毒，并且带有下载功能，这个文件继续看下去，但没看出有什么问题。估计还得继续跟进分析。

这些除了盗号，但是没有看到相关的鬼影操作的情况，难道就是最后的false.exe是鬼影？
这时候，大家还记得3600a.js么，对这个文件我们还没有分析呢。
我们转头看看这个文件把。

2、 3600a.js  
火眼分析 3600a.js 报告地址： http://fireeye.ijinshan.com/analyse.html?md5=b3019a8ae7751578d510357505e7da84
从火眼报告看，该文件和110a.js是同一个下载器。只是下载的目标下载地址不同。
  
http://z.qq3600.com:9099/a.txt
里面下载以下文件。

http://z.qq3600.com:9099/Best/saobiwujiqq.exe
http://z.qq3600.com:9099/Best/saobiwujidnf.exe
http://z.qq3600.com:9099/Best/saobiwuji2.exe
http://z.qq3600.com:9099/Best/saobiwuji3.exe
http://z.qq3600.com:9099/Best/saobiwuji4.exe
http://z.qq3600.com:9099/Best/saobiwuji5.exe
http://z.qq3600.com:9099/Best/systtm.exe
http://z.qq3600.com:9099/Best/false.exe
http://baobei.mao110.com:9999/Best/1001.exe
http://z.qq3600.com:9099/Best/ggr.exe

从表面看，下载的内容和刚才的110a.js中的差不多，这里就不说了，只不过换了一个域名而已。但是里面有个小细节，引发了我的注意。

即1001.exe


第五步
分析3600a.js  下载 的1001.exe文件
1001.Exe  
在一群盗号木马中的另类，一般要么是下载器母体，要么就是另外的牛逼病毒。
用记事本打开初步看一下:

  

这个家伙竟然加了vmp壳！其他木马都没有加猛壳，就这个加了，说明这个里面有很多不想让我们知道的秘密！果断上传火眼看看！
火眼分析 1001.exe 报告地址： http://fireeye.ijinshan.com/analyse.html?md5=297de74cb20a975efaf20cd88fddf270

  

火眼果然很厉害，看到了吧，这个果然是鬼影病毒！！感染beep.sys以及感染Mbr！！我们分析了那么久，终于逮住他这个鬼影了。
看看该鬼影干了什么事
  
该鬼影主要内容在safemon.dll中，该文件需要重起后释放，所以火眼目前没有监控到该文件。
而下面则是调用导航，弹出广告。



总结
该病毒利用了多个病毒下载器多层串联进行下载，甚至利用2010年的老av终结者进行串联，看来这个病毒集团已经是非常老手了，从另外一个表象，这个病毒集团非常贪婪。给用户下载鬼影，若干盗号器，远控木马，篡改浏览器首页等等一系列操作。中了该毒的人，估计只能卡的无奈重装系统，但是由于中了鬼影，那么即便重装系统也没有用，所以依然还会反复中毒。



从头看到尾，对病毒分析的方法有所了解了吧~？有了火眼，再多层串联再复杂的病毒也无妨~

shakeroneal

小白路过
好复杂

冰雪港湾

太复杂了，听楼下总结

seehere

楼主够有耐心的。支持一下

ziqianweiyang

太长了，而且有些图片显示变形了。

qwe12301

这图贴得。。

LisaLan

还是喜欢看AVG的代码分析

想念式发呆

太复杂了看不懂啊，不过火眼确实牛B的说

jiexp

现在的木马和病毒真的是越来越"高明"了.

Tilamisu-BO

我只能说我真的看不懂。只明白火眼够牛B的。LZ幸苦了