一、 概述

日前,火绒安全团队发出警报,火绒工程师截获下载器病毒Apametheus,该病毒入侵电脑后会下载多个病毒模块,病毒模块运行后,将盗取steam账号,同时劫持用户QQ临时登录权限,强行添加QQ好友、转发空间,散播违法信息。

通过技术溯源发现,该病毒带有“北京方正阿帕比技术有限公司”(北大方正子公司)的数字签名:“Beijing Founder Apabi Technology Limited” ,以躲避安全软件的拦截查杀,疑似为签名泄露被黑客团伙利用,建议该公司尽快排查。

“火绒产品(个人版、企业版)”最新版即可查杀该病毒。

二、 样本分析

近期,火绒截获到病毒文件带有“Beijing Founder Apabi Technology Limited”签名(北京方正阿帕比技术有限公司),系北大方正集团有限公司子公司,病毒数字签名可以验证通过。如下图所示:

病毒数字签名

病毒数字签名

病毒数字签名

病毒运行后通过访问C&C服务器下载下载器病毒(Linking.exe和calc.exe)至本地执行,运行后会启动svchost.exe进程进行注入,被注入svchost.exe进程分别会执行不同的恶意代码逻辑。恶意代码逻辑分别包括:盗取steam账号、利用本地会话劫持强行添加QQ好友和转发QQ空间日志。病毒执行恶意行为后进程树状态,如下图所示:

病毒执行后进程树

盗取steam账号

病毒会不断搜索steam登录窗口,当搜索到steam登录窗口后,释放cuic.dll并将该动态库注入到steam.exe进程中。相关代码逻辑,如下图所示:

注入steam.exe

被注入的恶意代码(cuic.dll),首先会循环检测SteamUI.dll是否已经成功加载。如果成功加载,则会通过获取控件数据的方法获取用户登录信息。如下图所示:

循环检测SteamUI.dll 比较控件名称相关代码,如下图所示:比较Steam_GetTwoFactorCode_EnterCode控件名称 恶意代码相关数据,如下图所示:恶意代码相关数据

强行QQ好友推广

该部分病毒代码执行后,会通过本地的QQ快捷登录信息获取临时登录凭证进行会话劫持,之后强行使用用户QQ执行添加指定QQ好友、强行转发QQ空间日志。相关代码,如下图所示:

强行添加QQ好友

强行转发QQ空间日志相关代码,如下图所示:

强行转发QQ空间日志

三、 附录

样本SHA256:

火绒安全警报:疑似方正集团子公司签名泄露 遭黑客利用盗取Steam账号相关推荐

  1. 火绒安全警报:新型宏病毒通过Excel传播 暗刷2345网址站牟利

    火绒安全团队发出警告,近日,一批新型宏病毒正通过Excel文件传播,该病毒入侵电脑运行后,会悄悄访问带有推广计费名的2345网址暗刷流量,并且还会感染电脑上其它的Excel文件,然后通过这些文件传播给 ...

  2. 火绒自定义规则分享,给你真正的“安全感”

    前言 小编是非常喜欢火绒这款杀毒软件的,因为它既能给电脑带来一定的防护能力,又不会乱删文件,更没有任何弹窗骚扰 应该有不少小伙伴觉得火绒的杀毒能力不如其余几款国产杀软--其实病毒也没那么常见,反正小编 ...

  3. 华为读取版本exe_关于esrv_svc.exe和SurSvc.exe疑似泄露用户信息的猜测

    封面图片来源:https://www.weibo.com/1885454921/GpBhR3vpk?type=repost#_rnd1573301201348 抱歉,写网页文章的次数不多,排版没研究过 ...

  4. 火绒一面病毒样本分析

    样本信息 MD5: 6E4B0A001C493F0FCF8C5E9020958F38  SHA1:BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1 ...

  5. 互联网晚报 | 3月25日 星期五 |​ ​​私募大佬但斌疑似空仓;蔚来和小米汽车拟采用比亚迪电池...

    ‍‍ ‍‍但斌:仓位是比较低,大概在10%左右 市场有消息称,私募大佬但斌疑似空仓,上百只产品净值几乎零波动.对此,但斌回应称 "仓位应该是比较低,大概在10%左右."(第一财经) ...

  6. 互联网晚报 | 3月22日 星期二 |​ ​工作人员标注mu5735残骸并展开调查;万门大学疑似解散VIP群跑路...

    ‍ ‍工作人员标注mu5735残骸并展开调查 目前,东航客机mu5735的搜救工作正在进行.进入mu5735核心救援现场看到,多处树木存在燃烧痕迹,飞机残骸散落各处.工作人员正对飞机残骸进行标注,并对 ...

  7. 卢伟冰疑似用上Redmi K30S:今年最后一款骁龙865旗舰

    在年末最后的旗舰大混战中,各大手机厂商除了竭力推出的年终代表性旗舰外,也并没有在其他档位的产品线上有丝毫松懈.继此前不断传出关于全新的Redmi K30S系列的外观配置爆料后,近日小米集团中国区总裁卢 ...

  8. 后置“浴霸”六摄!疑似索尼全新旗舰Xperia 2曝光

    继此前索尼年度旗舰Xperia 1国行版在国内开售之后,前不久,陆陆续续开始有疑似下一代Xperia系列旗舰的相关消息传出.现在有最新消息,据外媒近日报道称,索尼可能会在柏林国际电子消费展(IFA)上 ...

  9. 骁龙855加持!疑似红米Pro 2曝光:旗下首款升降摄像头机型?

    [TechWeb]早在红米Redmi品牌独立之日起,小米集团副总裁.红米Redmi品牌总经理卢伟冰就透露此后Redmi同样将推出搭载骁龙855的旗舰机型的消息.而陆续推出Note 7和Note 7Pr ...

最新文章

  1. mysql如何下载连接到visual_Visual Studio 2015 Community连接到Mysql
  2. 如何判断Java中两个Class对象是否相同
  3. Ineffective mark-compacts near heap limit Allocation failed - JavaScript heap out of memory
  4. JAVA图片不显示imageicon_怎么没法显示图片图标呢?
  5. SAP 那点事BW HANA
  6. java strim性能_Java代码性能优化总结
  7. 帆软报表重要Activator之DesignerInitActivator之三NorthRegionContainerPane 主要是设计器菜单栏的部分
  8. QString、QByteArray 相互转换、和16进制与asc2转换
  9. 和为S的连续正数序列(python)
  10. 滑动门技术的详细分析
  11. 也许下一个倾家荡产的就是你
  12. 布谷鸟沙盒分析静态文件_布谷鸟cuckoo
  13. 睡眠时的局部目标记忆再激活
  14. LoadLibrary加载dll失败的问题
  15. 降低技术应用门槛,易现推动“AR+”迈上新台阶
  16. Unity5.0 烘焙物体导入其他场景
  17. Spring 微服务实战
  18. “术业有专攻”和“功夫在行外”--笑来
  19. 什么是 AES-GCM加密算法
  20. www.wolframalpha.com

热门文章

  1. 红米k30 android10 go,小米10/红米K30至尊纪念版:真有那么香吗?简单聊聊它们的优缺点...
  2. 千姿百态项目经理3——“牛X”项目经理6
  3. RS485应用电路图
  4. SQL LCASE() 函数
  5. task2 金融风控数据处理
  6. traceroute不通linux,PING能通,traceroute不通
  7. HTML基础标签(菜鸟一看就会)
  8. Elasticsearch全文搜索引擎,从0到0.6
  9. 2022-2028年全球与中国运动控制传感器行业发展趋势及竞争策略研究
  10. 黑马程序员,黑马论坛----黑马.Net 10期 史无前例的就业速度12天就业71.43%