一、 概述
日前,火絨安全團隊發出警報,火絨工程師截獲下載器病毒Apametheus,該病毒入侵電腦後會下載多個病毒模組,病毒模組執行後,將盜取steam賬號,同時劫持使用者QQ臨時登入許可權,強行新增QQ好友、轉發空間,散播違法資訊。
通過技術溯源發現,該病毒帶有“北京方正阿帕比技術有限公司”(北大方正子公司)的數字簽名:“Beijing Founder Apabi Technology Limited” ,以躲避安全軟體的攔截查殺,疑似為簽名洩露被黑客團伙利用,建議該公司儘快排查。
“火絨產品(個人版、企業版)”最新版即可查殺該病毒。
二、 樣本分析
近期,火絨截獲到病毒檔案帶有“Beijing Founder Apabi Technology Limited”簽名(北京方正阿帕比技術有限公司),系北大方正集團有限公司子公司,病毒數字簽名可以驗證通過。如下圖所示:
病毒數字簽名
病毒數字簽名
病毒數字簽名
病毒執行後通過訪問C&C伺服器下載下載器病毒(Linking.exe和calc.exe)至本地執行,執行後會啟動svchost.exe程式進行注入,被注入svchost.exe程式分別會執行不同的惡意程式碼邏輯。惡意程式碼邏輯分別包括:盜取steam賬號、利用本地會話劫持強行新增QQ好友和轉發QQ空間日誌。病毒執行惡意行為後程式樹狀態,如下圖所示:
病毒執行後程式樹
盜取steam賬號
病毒會不斷搜尋steam登入視窗,當搜尋到steam登入視窗後,釋放cuic.dll並將該動態庫注入到steam.exe程式中。相關程式碼邏輯,如下圖所示:
注入steam.exe
被注入的惡意程式碼(cuic.dll),首先會迴圈檢測SteamUI.dll是否已經成功載入。如果成功載入,則會通過獲取控制元件資料的方法獲取使用者登入資訊。如下圖所示:
迴圈檢測SteamUI.dll 比較控制元件名稱相關程式碼,如下圖所示: 比較Steam_GetTwoFactorCode_EnterCode控制元件名稱 惡意程式碼相關資料,如下圖所示: 惡意程式碼相關資料強行QQ好友推廣
該部分病毒程式碼執行後,會通過本地的QQ快捷登入資訊獲取臨時登入憑證進行會話劫持,之後強行使用使用者QQ執行新增指定QQ好友、強行轉發QQ空間日誌。相關程式碼,如下圖所示:
強行新增QQ好友強行轉發QQ空間日誌相關程式碼,如下圖所示:
強行轉發QQ空間日誌三、 附錄
樣本SHA256: