吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 31197|回复: 98
上一主题 下一主题
收起左侧

[PC样本分析] 火绒安全警报:疑似方正集团子公司签名泄露 遭黑客利用盗取Steam账号

  [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2018-9-13 20:08 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
一、概述
日前,火绒安全团队发出警报,火绒工程师截获下载器病毒Apametheus,该病毒入侵电脑后会下载多个病毒模块,病毒模块运行后,将盗取steam账号,同时劫持用户QQ临时登录权限,强行添加QQ好友、转发空间,散播违法信息。
通过技术溯源发现,该病毒带有"北京方正阿帕比技术有限公司"(北大方正子公司)的数字签名:"Beijing Founder Apabi Technology Limited" ,以躲避安全软件的拦截查杀,疑似为签名泄露被黑客团伙利用,建议该公司尽快排查。

"火绒产品(个人版、企业版)"最新版即可查杀该病毒。

二、样本分析
近期,火绒截获到病毒文件带有"Beijing Founder Apabi Technology Limited"签名(北京方正阿帕比技术有限公司),系北大方正集团有限公司子公司,病毒数字签名可以验证通过。如下图所示:

病毒数字签名

病毒数字签名

病毒数字签名
病毒运行后通过访问C&C服务器下载下载器病毒(Linking.exe和calc.exe)至本地执行,运行后会启动svchost.exe进程进行注入,被注入svchost.exe进程分别会执行不同的恶意代码逻辑。恶意代码逻辑分别包括:盗取steam账号、利用本地会话劫持强行添加QQ好友和转发QQ空间日志。病毒执行恶意行为后进程树状态,如下图所示:

病毒执行后进程树
盗取steam账号
病毒会不断搜索steam登录窗口,当搜索到steam登录窗口后,释放cuic.dll并将该动态库注入到steam.exe进程中。相关代码逻辑,如下图所示:

注入steam.exe
被注入的恶意代码(cuic.dll),首先会循环检测SteamUI.dll是否已经成功加载。如果成功加载,则会通过获取控件数据的方法获取用户登录信息。如下图所示:

循环检测SteamUI.dll
比较控件名称相关代码,如下图所示:

比较Steam_GetTwoFactorCode_EnterCode控件名称
恶意代码相关数据,如下图所示:

恶意代码相关数据
强行QQ好友推广
该部分病毒代码执行后,会通过本地的QQ快捷登录信息获取临时登录凭证进行会话劫持,之后强行使用用户QQ执行添加指定QQ好友、强行转发QQ空间日志。相关代码,如下图所示:

强行添加QQ好友
强行转发QQ空间日志相关代码,如下图所示:

强行转发QQ空间日志

三、附录
样本SHA256:

免费评分

参与人数 32吾爱币 +24 热心值 +29 收起 理由
mjq + 1 热心回复!
宁缺毋滥349 + 1 用心讨论,共获提升!
你用不起的名字 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
siuhoapdou + 1 + 1 谢谢@Thanks!
绿箭口香糖 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
123456789QWERTY + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
QQ3219319950 + 1 热心回复!
打ち上げ花火 + 1 + 1 下午刚被火绒检测出来
Easy-Going + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
dejialove + 1 + 1 这个木马我中了,stame号被盗,信箱被秒修改!
ycsyywl + 1 https://www.huorong.cn/info/1536838884154.html
mkmk999 + 1 谢谢@Thanks!
tinglie + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
极品菜雀 + 1 + 1 热心回复!
高苗苗 + 1 热心回复!
在下萝莉控 + 1 + 1 我很赞同!
yjy5945 + 1 + 1 我很赞同!
Edagrxu + 1 热心回复!
_达圣 + 1 + 1 热心回复!
cw6619 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
上官逸风 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
zzoomm + 1 热心回复!
羽月莉音 + 1 + 1 我很赞同!
huang0817 + 1 + 1 谢谢@Thanks!
阿木100 + 1 谢谢@Thanks!
heroliujun + 1 谢谢@Thanks!
www.52pojie.cn + 1 + 1 火绒还是很不错的
go18 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
聆听落雨 + 1 + 1 用心讨论,共获提升!
Asinw12321 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
落日余辉x + 1 + 1 用心讨论,共获提升!
a526437928 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
zxt1005759639 发表于 2018-9-14 09:16
为什么用火绒?360杀毒率2017年是最高的,如果显示有毒开虚拟机不就好了?
推荐
度娘灬魂手 发表于 2018-9-14 13:47
zxt1005759639 发表于 2018-9-14 09:16
为什么用火绒?360杀毒率2017年是最高的,如果显示有毒开虚拟机不就好了?

写个程序操作本地SQL都报毒的大数字,真的不怎么随人愿。而且碰到偷偷安装软件的流氓连报都不报
推荐
moonshade 发表于 2018-9-13 20:54
3#
落日余辉x 发表于 2018-9-13 20:26
感谢发布安全讯息
4#
AAAAAHentai 发表于 2018-9-13 20:30

感谢发布,谢谢分享
5#
loster 发表于 2018-9-13 20:32
感谢!我的steam账号谁知道受不受影响
6#
xiaobaoge 发表于 2018-9-13 20:38

感谢发布安全讯息
7#
Asinw12321 发表于 2018-9-13 20:48
我的天,带数字签名都不安全啊!
8#
pxh961017 发表于 2018-9-13 20:50
感谢发布安全讯息
9#
clf3211147 发表于 2018-9-13 20:54
今天在哪看到过有人中了类似的招
10#
唱唱 发表于 2018-9-13 20:58
这个危害挺大的...
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:15

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表