“企鹅FM”带毒事件后续:恐为持续针对视障人士的定向投毒
本帖最后由 火绒安全实验室 于 2020-7-18 09:56 编辑【快讯】
近日,火绒监测到腾讯旗下“企鹅FM”软件无障碍版安装包被黑客投毒,并于昨日发布紧急通知。经过连夜详细分析,火绒工程师发现该病毒运行后,除了感染文件、键盘记录、屏幕截图、浏览上传文件等常见后门行为外,还可以被黑客操控结束读屏软件进程以及关闭电脑音频,故推测为一起针对视障人士的定向投毒事件。值得一提的是,2018年“冲浪星”(专门为视障人士设计的辅助软件)官方就曾声明其软件被篡改投毒,我们分析后发现与火绒此次截获的病毒样本具有同源性,针对视障人士的定向投毒显然还在持续进行。根据火绒工程师溯源分析,存在病毒的站点为“企鹅FM”无障碍版开发者的个人页面,据此推测开发者的开发环境被黑客远控捆绑后门病毒,并借助开发的软件传播病毒。当用户通过“企鹅FM”官网下载带毒的无障碍版安装包后,即会被植入该后门病毒。目前,火绒可对该后门病毒进行查杀,并通过紧急升级,还可在不损坏软件的前提下对其中的感染模块进行清除。下载该软件的用户可使用火绒最新版对软件安装包进行查杀,清除病毒模块后即可放心使用。
一直以来,火绒产品都在积极兼容目前主流读屏等视障辅助软件,希望以此能够尽可能帮助相关用户及时预防潜在风险,保护终端安全。我们坚信,所有的用户都值得获得同等的对待和尊重。
附:【分析报告】
一、详细分析
火绒于近日监测到,腾讯旗下“企鹅FM”官网无障碍版软件安装包被黑客投毒。该安装包在用户本地执行后,即会执行后门逻辑,根据黑客下发的后门指令执行包括:感染文件、键盘记录、屏幕截图、浏览上传文件等恶意行为。除此之外,该病毒还具有结束读屏软件进程与电脑静音的后门功能。同时,根据该后门病毒的关键数据还溯源到一个同源性样本,与另外一款视障人士专用软件(“冲浪星”)有关联。根据“冲浪星”的官方群公告得知,从2018年2月份开始,该软件的组件曾多次遭到恶意篡改。据此,我们基本可以断定此次攻击为针对视障人士的定向投毒。“企鹅FM”官网页面情况与页面代码,如下图所示:
“企鹅FM”无障碍版官方下载链接
点击“下载无障碍版“后跳转到的页面该后门病毒运行后,首先会根据自身文件附加数据释放、运行原始“企鹅FM”安装包,之后将自身PE镜像数据释放至%Program Files%\Windows Media Player\wmplayer\wmplayer.exe执行,并且将wmplayer.exe创建为计划任务。病毒文件结构,如下图所示:
病毒文件结构首先,病毒运行后会启动svchost.exe进行注入,被注入后的svchost.exe进程会执行后门逻辑,根据远程C&C服务器(tldw8.cn)返回的指令执行指定操作,如:感染文件、键盘记录、屏幕截图、浏览上传文件等。相关代码,如下图所示:
注入svchost.exe相关代码
病毒相关进程
后门逻辑调用代码,如下图所示:
后门逻辑调用代码
后门逻辑首先会解密后门指令,之后再调用后门指令派发函数执行后门操作。相关代码,如下图所示:
后门指令解析和派发代码
后门逻辑代码
此后门功能众多,相关代码如下图所示:
部分后门指令
在后门指令中,还包括感染可执行文件相关功能。根据感染逻辑可见,被感染的可执行文件与之前上文中提到的病毒文件结构相同,所以可以确定“企鹅FM”官网下载到的病毒文件就是被该后门病毒所感染。相关代码逻辑,如下图所示:
感染代码
此外,我们还发现后门指令中具有停止读屏,电脑静音的功能,此类功能在其它后门病毒中几乎从未见到。相关代码如下图所示:
停止读屏相关代码
电脑静音相关代码
二、同源分析
通过我们溯源分析发现一个带有 “冲浪星”(官方介绍:专为视障人士量身打造的综合性上网辅助程序)标识的程序文件,也带有此次后门病毒相同的解密密钥(WDRJ@139.com)及C&C服务器地址(tldw8.cn)。在此款程序文件中,具有与官方版本“冲浪星”同源代码,但并没有发现后门功能相关代码。且从“冲浪星”的官方交流群中得知该软件曾多次遭到恶意篡改,且时间上与溯源发现的样本相吻合。相关同源代码如下图所示:
来源不明“冲浪星”与官方版本“冲浪星”同源代码对比
此次后门病毒与来源不明“冲浪星”同源代码对比
“冲浪星”官方交流群说明
溯源发现的样本时间信息
三、附录
样本hash
这种行为非常恶劣,我们不要求你同情、帮助特殊人群,但至少不应该欺负他们! 整件事太讽刺了,和老干妈事件一样,说的做的一套一套的。
标榜:上帝给你关上一扇门,企鹅为你打开一扇窗。
实际:从企鹅官网下载的“无障碍”版本带毒。
从结果上看,鹅厂就是这样来给那批特定群体开窗的?吃瓜群众们又一次缓缓打出个问号。
估且不论是被投毒还是怎样,大厂作为曾和360硬刚的存在,真的没能力发现这点后门?
作为又一个讽刺的对比,“冲浪星”的后续操作简直把大厂按在地上磨擦。
投“毒”者应受谴责,鹅厂两次送人头,不同样应该深刻自察吗? 欺负残疾人真的过分了 qq浏览器会对52的火绒的报告此病毒的第一个帖子,提示此网站有风险, 真厉害 很反感有人针对残障人士 作为一名视障者,说实在的没想过无障碍这个话题是这样出现在大众眼前的。再说病毒,干掉我屏幕阅读器进程,强制静音计算机真的过分了啊!我也是一名视障开发者,保护开发环境安全,尽可能确保自己的程序不被感染,是责任,也是义务。 真的是过分了,有黑客能力,还用来欺负弱者。 开发者环境被感染,值得反思 等下,鹅厂堪比国防的防火墙呢{:301_1002:} 开发者环境被感染,值得反思 怎么还有这么恶心的人 zhongjidps 发表于 2020-7-18 10:02
怎么还有这么恶心的人
林子大了,什么鸟都有 实在过分,鄙视👎 感谢火绒。 来了 来了