近期，“火絨威脅情報系統”截獲到一款名為HellohaoOCR_V3.1的圖像識別程序攜帶後門病毒Gh0st，推測正通過供應鏈污染的方式進行傳播。用戶運行該程序後，就會激活後門病毒。病毒可以接受遠程服務器指令，執行下載其它病毒、提升權限、刪除日誌等惡意行為。更為關鍵的是，由於大量的下載站和技術類論壇（如下圖）提供該程序的下載，導致病毒正在被進一步擴散。

建議近期在上述下載站和論壇下載過該程序的用戶及時排查是否感染病毒。火絨用戶無需擔心，火絨安全軟件無需升級即可查殺該病毒。

隨後，火絨工程師找到並聯繫了該程序的作者，得知其使用了第三方的易語言模塊進行編程，但對程序帶毒並不知情。結合分析結果，火絨工程師推測為易語言模塊遭供應鏈污染導致。最終，經過溯源取證，火絨工程師基本確認了該後門病毒的作者以及作案手法：通過易語言外掛交流群等平台散播含有後門的病毒模塊，以感染編譯環境的方式達到供應鏈污染的目的。（詳情見分析報告部分）

火絨工程師表示，與此次作案手法類似的還有去年的“微信支付”勒索病毒。供應鏈污染一直都是病毒傳播的一大手段，而下載站也逐漸成為了病毒分發的主要平台，火絨對相關供應鏈污染與下載站傳播各類病毒曾進行多次披露。在此，我們再一次呼籲，廣大開發人員在使用第三方模塊時，盡量通過正規渠道獲取，並及時檢查其安全性；各大下載站管理人員對上傳文件加強審核，阻止病毒傳播，為用戶共同營造良好的網絡環境。

附：【分析報告】

一、 樣本分析

近期火絨接到用戶反饋，一款名為HellohaoOCR_V3.1的圖像識別程序會被火絨報毒。經過分析，我們發現該圖像識別程序中帶有Gh0st後門病毒，根據後續溯源分析推測該後門病毒是通過供應鏈污染的方式進行傳播。由於該帶毒程序後續被上傳到了多個下載站和論壇，從而造成了該後門病毒在互聯網中的進一步擴散。受該病毒影響的站點，如下圖所示：

受到該病毒影響的下載站列表

帶毒程序下載頁面，如下圖所示：

帶毒程序下載頁面

HellohaoOCR_V3.1.exe軟件採用VMProtect加殼處理，運行之後會將自身所包含的後門病毒模塊釋放到內存並保存在“C: Windows SysWOW64Scvhost.exe”中，由於Windows XP及以下系統不存在“C: WindowsSysWOW64”文件夾，運行軟件後無法釋放病毒模塊，所以不會受此病毒程序的影響。如下圖所示：

病毒文件釋放路徑

病毒文件內存數據

病毒文件所在文件夾

Gh0st是一款遠程控制軟件，由於其源代碼早已在互聯網上公開，導致了大量以Gh0st源碼為基礎的後門病毒不斷傳播，且變種繁多。Scvhost.exe其實也為Gh0st後門病毒的一個變種，它不僅採用了傳統的C&C服務器接收上線消息通知的方式，並且通過QQ的一個公開接口“http://users.qzone.qq.com/fcg- bin/cgi_get_portrait.fcg?uins=qq_number”來獲取加密之後的其他C&C服務器地址和端口，這樣它就可以隨意變換服務端地址，不用擔心服務器地址被拉殺軟黑，來達到持久化控制的效果。在網上找了一款類似的遠程控制軟件，其生成客戶端的配置界面如下圖所示：

可以通過QQ上線方式的遠控配置界面

後門病毒運行起來之後，首先會創建線程來接收C&C服務器返回數據和發送上線數據包，並創建全局互斥體來保證自己唯一運行，然後通過第三方網站“ip.cn”來獲取真實的C&C服務器地址，確保獲取到的C&C服務器地址不會受到當前網絡環境影響（比如DNS劫持）。

通過第三方網站“ip.cn”來獲取真實的C&C服務器地址相關代碼如下圖所示：

第三方站點查詢真實IP

然後病毒程序會嘗試連接C&C服務器地址，如果連接成功，則會創建一個線程來接受並解密遠程服務器返回的數據。連接C&C服務器相關代碼如下圖所示：

連接C&C服務器

創建線程接收返回數據相關代碼如下圖所示：

創建線程接收返回數據

接收並解密C&C服務器返回數據相關代碼如下圖所示：

接收並解密C&C服務器返回數據

解密數據的算法並不復雜，將返回的數據按字節先與0x7A相減，在與0x19異或，解密數據部分代碼如下圖所示：

解密C&C服務器返回數據

接著病毒程序開始收集系統數據來構造上線包信息，除了常見的系統信息之外，例如：網絡連接方式、系統版本信息、內存使用狀態、磁盤信息、磁盤容量、時間信息等，還會收集當前系統的QQ號和殺軟信息。收集常見系統信息代碼部分如下圖所示：

收集常見系統信息

通過QQ程序的一個窗體類名為“CTXOPConntion_Class”來獲取遍歷窗體，從而獲得當前系統登錄的QQ號信息，相關代碼如下圖所示：

獲取當前系統登錄的QQ號信息

檢測系統殺軟信息，相關代碼如下圖所示：

此外，在將要發送的上線包信息中，還發現了一個可疑QQ號“24******87”，這個在下面的溯源分析中會具體說明，相關代碼如下圖所示：

發現可疑QQ號相關代碼

收集完所需的系統信息之後，開始拼接上線包數據信息，並加密發送給C&C服務器，未加密的明文上線數據包信息如下圖所示：

未加密的明文上線數據包信息

加密數據所採用的算法與解密接收數據的算法正好相反，將發送的數據按字節先與0x19異或，在與0x7A相加，這樣就得到了最終所需發送的加密數據。加密數據算法相關代碼如下圖所示：

加密數據算法

加密之後的上線數據包信息如下圖所示：

加密之後的上線數據包信息

若發送失敗則會不斷嘗試再次發送，最大發送次數為16次，相關代碼如下圖所示：

發送上線包相關代碼

如果發送16次之後還是返回失敗，則開始啟用QQ上線的方式，來獲取其他的C&C服務器地址和端口，QQ上線相關代碼如下圖所示：

QQ上線相關代碼

遠控木馬所使用的QQ上線方式就是通過對接口網址“http://users.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?uins=qq_number”的訪問，能夠得到自己可控的返回數據QQ暱稱，從而任意改變C&C服務器地址。此次病毒程序所使用的QQ號為“23******32”，瀏覽器訪問測試效果如下圖所示：

瀏覽器訪問QQ接口

接著病毒程序通過對返回的數據匹配查找，得到QQ暱稱，相關代碼如下圖所示：

查找QQ暱稱

得到QQ暱稱後，對暱稱進行解密操作，由於解密時先對暱稱進行減去6個字節的操作，但是此病毒當前所關聯的QQ暱稱“週末”只有4個字節大小，所以導致了解密失敗，這也就是程序為什麼運行奔潰的原因了，相關代碼如下圖所示：

程序奔潰相關代碼

雖然病毒程序由於QQ暱稱不符合解密算法的關係導致運行奔潰，不排除將來作者更改“23******32”QQ號的暱稱來再次進行遠程控制，運行奔潰如下圖所示：

程序奔潰

解密QQ暱稱獲取C&C服務器地址和端口的相關算法如下圖所示：

解密所使用的密碼表

解密邏輯相關代碼

通過QQ暱稱解密出新的C&C服務器地址和端口之後，則會繼續進行上文所述邏輯，解密C&C服務器返回數據，發送上線數據包。由於此類後門病毒已在網上流傳很久，並不新穎，功能部分與其他Gh0st變種後門病毒大致相同。部分功能相關代碼如下圖所示：

病毒程序部分功能相關代碼

二、 溯源分析

此次最初的樣本來源是在“吾愛破解”論壇上一款圖像識別軟件，被火絨報毒，原貼地址：“https://www.52pojie.cn/thread-983758-1-1.html “（現已刪除），將軟件下載下來分析之後發現確實含有後門病毒，作者原貼內容如下：

作者原貼內容

由於作者使用的是易語言開發環境，此前也發生過易語言模塊供應鏈污染導致病毒傳播事件，所以暫且無法斷定此後門病毒是作者故意為之還是系統編譯環境被污染。之後與軟件作者取得了直接聯繫，他表示自己在開發環境的時候確實使用了一個第三方易語言模塊，模塊是通過一個易語言外掛交流群下載的。徵得作者同意，可以公開聊天記錄，聊天記錄如下圖所示：

與軟件作者聊天記錄

根據作者給出的提示信息，再結合病毒程序QQ上線接口所連接的QQ號（23******32）頭像信息提示，可以大致確定後門病毒作者平時也會從事外掛製作，此QQ相關信息截圖如下。

QQ相關信息截圖

由於QQ上線所使用的QQ號是個小號，沒有搜索到更多的相關信息。但是，在病毒程序發送上線包的時候，上線包數據中包含一個前文提到的可疑QQ號（24******87），然後利用搜索引擎查詢此QQ號，發現此QQ號曾在遠控論壇有過發帖求助記錄，如下圖所示：

搜索結果

觀察後發現此人在不同論壇發帖都喜歡用“s**j”用戶名，日期集中在3月份左右。據此，接著往下搜索，發現他在某論壇上曾有如下發帖和回复記錄：

發帖紀錄

回复記錄

下載此人論壇主題中所上傳的“北斗星2019最新免殺遠程系統（精品）”軟件，打開測試後發現，確實也存在著QQ上線這種遠控模式，如下圖所示：

遠控配置界面

接著發現，此QQ號的空間說說存在DNF外掛製作方面的記錄，這與病毒程序上線所用的QQ號（23******32）頭像信息提示相吻合，如下圖所示：

空間說說記錄

空間說說記錄

空間說說記錄

QQ空間也提供了自己的微信號，如下圖所示：

空間說說記錄

根據微信號中的手機號碼，查到歸屬地為重慶，這也與病毒程序上線所用的QQ號（23******32）歸屬地一致，如下圖所示：

手機號碼歸屬地查詢

至此，基本可以確定此次後門病毒真正作者是QQ號為24******87的這個人，所在地為重慶，平時會從事DNF外掛製作與傳播，從2019年3月左右開始接觸學習後門遠控免殺。此後，疑似通過易語言外掛交流群等平台散播含有後門的病毒模塊，以感染編譯環境的方式達到供應鏈污染的目的。以後，大家在編寫程序時，一定要注意謹慎下載第三方模塊組件，時刻保持安全意識，為自己，也為他人帶來和諧安全的網絡環境。

後門作者個人信息：

姓名：趙**

居住地：重慶

手機號：176******57

微信號：qq176******57

QQ號：24******87（常用）

QQ號：31******08（小號）

QQ號：28******53（小號）

QQ號：23******32（小號）

三、 附錄

文件hash：

C&C服務器地址：

103.210.239.90