一、概述
日前,火絨安全團隊發出警報,火絨工程師截獲下載器病毒Apametheus。該病毒入侵電腦後會下載多個病毒模塊,病毒模塊運行後,將盜取steam賬號,同時劫持用戶QQ臨時登錄權限,強行添加QQ好友、轉發空間,散播違法信息。
通過技術溯源發現,該病毒帶有"北京方正阿帕比技術有限公司"(北大方正子公司)的數字簽名:"Beijing Founder Apabi Technology Limited" ,以躲避安全軟件的攔截查殺,疑似為簽名洩露被黑客團伙利用,建議該公司儘快排查。
二、樣本分析
近期,火絨截獲到病毒文件帶有"Beijing Founder Apabi Technology Limited"簽名(北京方正阿帕比技術有限公司),系北大方正集團有限公司子公司,病毒數字簽名可以驗證通過。如下圖所示:
病毒數字簽名
病毒數字簽名
病毒數字簽名
病毒運行後通過訪問C&C服務器下載下載器病毒(Linking.exe和calc.exe)至本地執行,運行後會啟動svchost.exe進程進行注入,被注入svchost.exe進程分別會執行不同的惡意代碼邏輯。
惡意代碼邏輯分別包括:盜取steam賬號、利用本地會話劫持強行添加QQ好友和轉發QQ空間日誌。病毒執行惡意行為後進程樹狀態,如下圖所示:
病毒執行後進程樹
盜取steam賬號
病毒會不斷搜索steam登錄窗口,當搜索到steam登錄窗口後,釋放cuic.dll並將該動態庫注入到steam.exe進程中。相關代碼邏輯,如下圖所示:
注入steam.exe
被注入的惡意代碼(cuic.dll),首先會循環檢測SteamUI.dll是否已經成功加載。如果成功加載,則會通過獲取控件數據的方法獲取用戶登錄信息。如下圖所示:
循環檢測SteamUI.dll
比較控件名稱相關代碼,如下圖所示:
比較Steam_GetTwoFactorCode_EnterCode控件名稱
惡意代碼相關數據,如下圖所示:
惡意代碼相關數據
強行QQ好友推廣
該部分病毒代碼執行後,會通過本地的QQ快捷登錄信息獲取臨時登錄憑證進行會話劫持,之後強行使用用戶QQ執行添加指定QQ好友、強行轉發QQ空間日誌。相關代碼,如下圖所示:
強行添加QQ好友
強行轉發QQ空間日誌相關代碼,如下圖所示:
強行轉發QQ空間日誌
三、附錄
樣本SHA256:
閱讀更多 江蘇IT小達人 的文章
