欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

火球(Fireball)病毒,是老外如临大敌,还是360指鹿为马

来源:本站整理 作者:人若无名 时间:2017-07-12 TAG: 我要投稿

2017年6月1日,国外著名的安全厂商Checkpoint发布报告称一个来自中国的恶意软件火球(Fireball)在全球范围内感染了多大2亿5千万台电脑。但仅仅两天之后,国内著名的安全厂商360就发布了另一篇报告“Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌”,称Fireball仅仅是一个很厚道的“流氓软件”。
http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/
两家著名的安全厂商对“相同的”病毒发布了完全不同的信息,让作为一个信息安全爱好者的我不知所措,到底该相信谁呢?! 这时候我想起了名侦探柯南中的那句台词“真相永远只有一个!”,因此决定亲自来分析下这个病毒。
在Checkpoint的分析报告中共列出了以下8个样本哈希,我们首先尝试从VT中获取这些样本的信息。
fab40a7bde5250a6bc8644f4d6b9c28f
69ffdf99149d19be7dc1c52f33aaa651
b56d1d35d46630335e03af9add84b488
8c61a6937963507dc87d8bf00385c0bc
7adb7f56e81456f3b421c01ab19b1900
84dcb96bdd84389d4449f13eac750986
2b307e28ce531157611825eb0854c15f
7b2868faa915a7fc6e2d7cc5a965b1e7
列表1. Checkpoint分析报告中给出的样本哈希

图1. VirusTotal上的样本信息
从图1可以看到,样本84dcb96bdd84389d4449f13eac750986的文件尺寸最大,因此极有可能是火球(Fireball)病毒的原始安装程序(或者说母体)。对该样本进一步进行信息检索后在文件关系(File Relationship)面板中发现它曾经出现在被提交到VT上的几个压缩文件之内。

图2.VirusTotal上的文件关系信息
4206664073b85f5c7a1fb82e3b8e8d3598ef96226a46899fbeaae6a7d7be2457
bc47fe30ba4bf86101b112ce1c5f811994e75353ad9e4d421e60582abdda1254
cd2bdbdfc57e57140412ba57be83da3ff8856107d8ac288ae18df77e2f2f05be
ef1743e67b8c323f2e3e58499cfd699099885fa5ad5d8601cfe0a126be4df556
列表2. 我们从VT上找到的包含文件84dcb96bdd84389d4449f13eac750986的样本列表
在列表2中,除了最后一个文件是真正的压缩文件以外,前三个文件都是DLL并且具有相似的文件结构(有且只有一个名为“hkfnrf”的导出函数,在附加数据中存在7Z格式的压缩数据)。

图3. 附加数据中的7Z格式的压缩数据
直接使用7-ZIP对DLL文件进行解压缩,发现里面有如图4所示的文件集合。

图4. 从DLL文件中解压缩出来的文件集合
用十六进制编辑器对这些文件进行查看之后,发现amule_cf这个文件很有意思,其内容如下。
{
       "list":
       [
{
                     "app_type": 1,
                     "app_name": "ClearLog.dll",
                     "app_cmd": "StartClear"
              },
{
                     "app_type" : 1,
                     "app_name": "Lancer.dll",
                     "app_cmd": "Start"
              },
{
                     "app_type": 0,
                     "app_name": "yacqq.exe",
                     "app_cmd": ""
              }, 
             {
                     "app_type": 0,
                     "app_name": "BaofengUpdate_U.exe",

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载