火绒安全警报：疑似方正集团子公司签名泄露 遭黑客利用盗取Steam账号

使用论坛附件上传样本压缩包时必须使用压缩密码保护，压缩密码:52pojie，否则会导致论坛被杀毒软件等误报，论坛有权随时删除相关附件和帖子！
病毒分析分区附件样本、网址谨慎下载点击，可能对计算机产生破坏，仅供安全人员在法律允许范围内研究，禁止非法用途！
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容，即使对方是非法内容，也应向警方求助！

一、概述
日前，火绒安全团队发出警报，火绒工程师截获下载器病毒Apametheus，该病毒入侵电脑后会下载多个病毒模块，病毒模块运行后，将盗取steam账号，同时劫持用户QQ临时登录权限，强行添加QQ好友、转发空间，散播违法信息。
通过技术溯源发现，该病毒带有"北京方正阿帕比技术有限公司"（北大方正子公司）的数字签名："Beijing Founder Apabi Technology Limited" ，以躲避安全软件的拦截查杀，疑似为签名泄露被黑客团伙利用，建议该公司尽快排查。

image005.png (60.89 KB, 下载次数: 0)

下载附件

2018-9-13 20:05 上传

"火绒产品（个人版、企业版）"最新版即可查杀该病毒。

二、样本分析
近期，火绒截获到病毒文件带有"Beijing Founder Apabi Technology Limited"签名（北京方正阿帕比技术有限公司），系北大方正集团有限公司子公司，病毒数字签名可以验证通过。如下图所示：

image006.png (42.35 KB, 下载次数: 0)

下载附件

2018-9-13 20:05 上传

病毒数字签名

image007.png (42.35 KB, 下载次数: 0)

下载附件

2018-9-13 20:05 上传

病毒数字签名

image008.png (43.57 KB, 下载次数: 0)

下载附件

2018-9-13 20:05 上传

病毒数字签名
病毒运行后通过访问C&C服务器下载下载器病毒（Linking.exe和calc.exe）至本地执行，运行后会启动svchost.exe进程进行注入，被注入svchost.exe进程分别会执行不同的恶意代码逻辑。恶意代码逻辑分别包括：盗取steam账号、利用本地会话劫持强行添加QQ好友和转发QQ空间日志。病毒执行恶意行为后进程树状态，如下图所示：

image009.png (18.25 KB, 下载次数: 0)

下载附件

2018-9-13 20:06 上传

病毒执行后进程树
盗取steam账号
病毒会不断搜索steam登录窗口，当搜索到steam登录窗口后，释放cuic.dll并将该动态库注入到steam.exe进程中。相关代码逻辑，如下图所示：

image010.png (287.15 KB, 下载次数: 0)

下载附件

2018-9-13 20:06 上传

注入steam.exe
被注入的恶意代码（cuic.dll），首先会循环检测SteamUI.dll是否已经成功加载。如果成功加载，则会通过获取控件数据的方法获取用户登录信息。如下图所示：

image011.png (90.68 KB, 下载次数: 0)

下载附件

2018-9-13 20:06 上传

循环检测SteamUI.dll
比较控件名称相关代码，如下图所示：

image012.png (41.69 KB, 下载次数: 0)

下载附件

2018-9-13 20:06 上传

比较Steam_GetTwoFactorCode_EnterCode控件名称
恶意代码相关数据，如下图所示：

image013.png (62.2 KB, 下载次数: 0)

下载附件

2018-9-13 20:07 上传

恶意代码相关数据
强行QQ好友推广
该部分病毒代码执行后，会通过本地的QQ快捷登录信息获取临时登录凭证进行会话劫持，之后强行使用用户QQ执行添加指定QQ好友、强行转发QQ空间日志。相关代码，如下图所示：

image014.png (136.44 KB, 下载次数: 0)

下载附件

2018-9-13 20:07 上传

强行添加QQ好友
强行转发QQ空间日志相关代码，如下图所示：

image015.png (255.8 KB, 下载次数: 0)

下载附件

2018-9-13 20:07 上传

强行转发QQ空间日志

三、附录
样本SHA256：

image016.png (26.29 KB, 下载次数: 1)

下载附件

2018-9-13 20:07 上传

 

免费评分 参与人数 32吾爱币 +24 热心值 +29 理由

mjq     + 1   热心回复！  

宁缺毋滥349     + 1   用心讨论，共获提升！  

你用不起的名字   + 1   + 1   欢迎分析讨论交流，吾爱破解论坛有你更精彩！  

siuhoapdou   + 1   + 1   谢谢@Thanks！  

绿箭口香糖   + 1   + 1   欢迎分析讨论交流，吾爱破解论坛有你更精彩！  

123456789QWERTY   + 1   + 1   欢迎分析讨论交流，吾爱破解论坛有你更精彩！  

QQ3219319950   + 1     热心回复！  

打ち上げ花火   + 1   + 1   下午刚被火绒检测出来  

Easy-Going   + 1   + 1   已经处理，感谢您对吾爱破解论坛的支持！  

dejialove   + 1   + 1   这个木马我中了，stame号被盗，信箱被秒修改！  

ycsyywl   + 1     https://www.huorong.cn/info/1536838884154.html  

mkmk999     + 1   谢谢@Thanks！  

tinglie   + 1   + 1   感谢发布原创作品，吾爱破解论坛因你更精彩！  

极品菜雀   + 1   + 1   热心回复！  

高苗苗     + 1   热心回复！  

在下萝莉控   + 1   + 1   我很赞同！  

yjy5945   + 1   + 1   我很赞同！  

Edagrxu     + 1   热心回复！  

_达圣   + 1   + 1   热心回复！  

cw6619   + 1   + 1   感谢发布原创作品，吾爱破解论坛因你更精彩！  

上官逸风   + 1   + 1   鼓励转贴优秀软件安全工具和文档！  

zzoomm     + 1   热心回复！  

羽月莉音   + 1   + 1   我很赞同！  

huang0817   + 1   + 1   谢谢@Thanks！  

阿木100     + 1   谢谢@Thanks！  

heroliujun   + 1     谢谢@Thanks！  

  + 1   + 1   火绒还是很不错的  

go18     + 1   欢迎分析讨论交流，吾爱破解论坛有你更精彩！  

聆听落雨   + 1   + 1   用心讨论，共获提升！  

Asinw12321   + 1   + 1   欢迎分析讨论交流，吾爱破解论坛有你更精彩！  

落日余辉x   + 1   + 1   用心讨论，共获提升！  

a526437928   + 1   + 1   用心讨论，共获提升！  

查看全部评分