一、 概述
日前,火絨安全團隊發出警報,火絨工程師截獲下載器病毒Apametheus,該病毒入侵電腦後會下載多個病毒模組,病毒模組執行後,將盜取steam賬號,同時劫持使用者QQ臨時登入許可權,強行新增QQ好友、轉發空間,散播違法資訊。
通過技術溯源發現,該病毒帶有“北京方正阿帕比技術有限公司”(北大方正子公司)的數字簽名:“Beijing Founder Apabi Technology Limited” ,以躲避安全軟體的攔截查殺,疑似為簽名洩露被黑客團伙利用,建議該公司儘快排查。
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/c4be14d7002e73a258c33ace89b7f50449e8d379d61c02d0f01e8a1f8f673ace.png)
“火絨產品(個人版、企業版)”最新版即可查殺該病毒。
二、 樣本分析
近期,火絨截獲到病毒檔案帶有“Beijing Founder Apabi Technology Limited”簽名(北京方正阿帕比技術有限公司),系北大方正集團有限公司子公司,病毒數字簽名可以驗證通過。如下圖所示:
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/ba753ba06e86b8b20e164d05ec27ac48984ad25546e972fcbec86ed64fd63757.png)
病毒數字簽名
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/cfa50b27b62d98961af92219fbde83495b47189c1a30c07229ffb39bfb45ca7b.png)
病毒數字簽名
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/c1eb28b90b76d558349f2c4b293677af82e41dee20f8e9810adc63b5f67853dd.png)
病毒數字簽名
病毒執行後通過訪問C&C伺服器下載下載器病毒(Linking.exe和calc.exe)至本地執行,執行後會啟動svchost.exe程式進行注入,被注入svchost.exe程式分別會執行不同的惡意程式碼邏輯。惡意程式碼邏輯分別包括:盜取steam賬號、利用本地會話劫持強行新增QQ好友和轉發QQ空間日誌。病毒執行惡意行為後程式樹狀態,如下圖所示:
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/e035f644c2a23559e28b345e864c04486db0dcd949b5846e7bfb64802ba0c3c4.png)
病毒執行後程式樹
盜取steam賬號
病毒會不斷搜尋steam登入視窗,當搜尋到steam登入視窗後,釋放cuic.dll並將該動態庫注入到steam.exe程式中。相關程式碼邏輯,如下圖所示:
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/2b25bae63a0587e7122f56ab8ca8d189d0b3942a4ccc43684a67b2cc0bd73d4d.png)
注入steam.exe
被注入的惡意程式碼(cuic.dll),首先會迴圈檢測SteamUI.dll是否已經成功載入。如果成功載入,則會通過獲取控制元件資料的方法獲取使用者登入資訊。如下圖所示:
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/49782c0369374c9c19a21eda289559c5480199f2cb576661394b3a1a67e5ebac.png)
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/a041faee7a4c6a24d6349168839ea0519ffa577de5054357425accde7f1d2621.png)
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/78590fd2e6b051fef8776c317822fca3d23ce039442df26240e9615389961739.png)
強行QQ好友推廣
該部分病毒程式碼執行後,會通過本地的QQ快捷登入資訊獲取臨時登入憑證進行會話劫持,之後強行使用使用者QQ執行新增指定QQ好友、強行轉發QQ空間日誌。相關程式碼,如下圖所示:
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/0572cbca1e1867cb39c75b897e1cb404a9165c2f904a4c8c6d9b2ae11fec1bf6.png)
強行轉發QQ空間日誌相關程式碼,如下圖所示:
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/e87de7d62336acfdd27879ab9928bbe1808446feb6021d9d7a69bf5e926c940c.png)
三、 附錄
樣本SHA256:
![火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號](https://i.iter01.com/images/05d7a34949dcfab639dc2e5252a382d727cf9807eb666df1c2f716df9b799c0c.png)