查看: 1427|回复: 7
收起左侧

[技术原创] “企鹅FM”带毒事件后续: 恐为持续针对视障人士的定向投毒

[复制链接]
火绒工程师
发表于 2020-7-18 10:37:28 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2020-7-18 10:37 编辑

【快讯】
近日,火绒监测到腾讯旗下企鹅FM”软件无障碍版安装包被黑客投毒,并于昨日发布紧急通知。经过连夜详细分析,火绒工程师发现该病毒运行后,除了感染文件、键盘记录、屏幕截图、浏览上传文件等常见后门行为外,还可以被黑客操控结束读屏软件进程以及关闭电脑音频,故推测为一起针对视障人士的定向投毒事件。
值得一提的是,2018“冲浪星”(专门为视障人士设计的辅助软件)官方就曾声明其软件被篡改投毒,我们分析后发现与火绒此次截获的病毒样本具有同源性,针对视障人士的定向投毒显然还在持续进行。
根据火绒工程师溯源分析,存在病毒的站点为企鹅FM”无障碍版开发者的个人页面,据此推测开发者的开发环境被黑客远控捆绑后门病毒,并借助开发的软件传播病毒。当用户通过“企鹅FM”官网下载带毒的无障碍版安装包后,即会被植入该后门病毒。
目前,火绒可对该后门病毒进行查杀,并通过紧急升级,还可在不损坏软件的前提下对其中的感染模块进行清除。下载该软件的用户可使用火绒最新版对软件安装包进行查杀,清除病毒模块后即可放心使用。

一直以来,火绒产品都在积极兼容目前主流读屏等视障辅助软件,希望以此能够尽可能帮助相关用户及时预防潜在风险,保护终端安全。我们坚信,所有的用户都值得获得同等的对待和尊重。

附:【分析报告】

一、详细分析
火绒于近日监测到,腾讯旗下“企鹅FM”官网无障碍版软件安装包被黑客投毒。该安装包在用户本地执行后,即会执行后门逻辑,根据黑客下发的后门指令执行包括:感染文件、键盘记录、屏幕截图、浏览上传文件等恶意行为。除此之外,该病毒还具有结束读屏软件进程与电脑静音的后门功能。同时,根据该后门病毒的关键数据还溯源到一个同源性样本,与另外一款视障人士专用软件(“冲浪星”)有关联。根据“冲浪星”的官方群公告得知,从20182月份开始,该软件的组件曾多次遭到恶意篡改。据此,我们基本可以断定此次攻击为针对视障人士的定向投毒。
“企鹅FM”官网页面情况与页面代码,如下图所示:
“企鹅FM”无障碍版官方下载链接
点击“下载无障碍版“后跳转到的页面
该后门病毒运行后,首先会根据自身文件附加数据释放、运行原始“企鹅FM”安装包,之后将自身PE镜像数据释放至%Program Files%\Windows Media Player\wmplayer\wmplayer.exe执行,并且将wmplayer.exe创建为计划任务。病毒文件结构,如下图所示:
病毒文件结构
首先,病毒运行后会启动svchost.exe进行注入,被注入后的svchost.exe进程会执行后门逻辑,根据远程C&C服务器(tldw8.cn)返回的指令执行指定操作,如:感染文件、键盘记录、屏幕截图、浏览上传文件等。相关代码,如下图所示:
        注入svchost.exe相关代码        
病毒相关进程
后门逻辑调用代码,如下图所示:
后门逻辑调用代码
后门逻辑首先会解密后门指令,之后再调用后门指令派发函数执行后门操作。相关代码,如下图所示:
后门指令解析和派发代码
后门逻辑代码
此后门功能众多,相关代码如下图所示:
部分后门指令

在后门指令中,还包括感染可执行文件相关功能。根据感染逻辑可见,被感染的可执行文件与之前上文中提到的病毒文件结构相同,所以可以确定“企鹅FM”官网下载到的病毒文件就是被该后门病毒所感染。相关代码逻辑,如下图所示:
感染代码
此外,我们还发现后门指令中具有停止读屏,电脑静音的功能,此类功能在其它后门病毒中几乎从未见到。相关代码如下图所示:
停止读屏相关代码
电脑静音相关代码
二、 同源分析
通过我们溯源分析发现一个带有 “冲浪星”(官方介绍:专为视障人士量身打造的综合性上网辅助程序)标识的程序文件,也带有此次后门病毒相同的解密密钥(WDRJ@139.com)及C&C服务器地址(tldw8.cn)。在此款程序文件中,具有与官方版本“冲浪星”同源代码,但并没有发现后门功能相关代码。且从“冲浪星”的官方交流群中得知该软件曾多次遭到恶意篡改,且时间上与溯源发现的样本相吻合。相关同源代码如下图所示:
来源不明“冲浪星”与官方版本“冲浪星”同源代码对比
此次后门病毒与来源不明“冲浪星”同源代码对比
“冲浪星”官方交流群说明
溯源发现的样本时间信息
三、 附录
样本hash

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
单黑林
发表于 2020-7-18 10:54:37 | 显示全部楼层
居然还有这种定向投毒,是不是可以报警抓起来了
WAR314159
发表于 2020-7-18 11:32:05 | 显示全部楼层
我需要样本,样本放样本区,别忘了@我
wzhyhw
发表于 2020-7-19 20:09:50 | 显示全部楼层
真是恶毒,本来无障碍版本针对的就是残障人士,他们已经够可怜的,还要被人定向投毒!
生而为人,请你善良!
zay365
头像被屏蔽
发表于 2020-7-19 20:15:38 | 显示全部楼层
感谢火绒对该事件的关注和提醒。经核查,受影响的是2020年7月15日-7月17日期间下载企鹅FM无障碍PC版的用户。我们强烈谴责本次针对视障群体的黑客恶意攻击行为!
我们已于7月17日第一时间将该程序的安装包从企鹅FM官网中移除,只有极少数用户下载了该安装包。iOS、安卓平台版本不受影响,请放心使用。
我们敬请下载本安装包的用户尽快删除该版本,并通过安全杀毒软件进行全盘病毒查杀。
对用户造成的不便和影响,我们深感抱歉!我们也正通过相关渠道联系受影响的视障用户,并将协助妥善处理。

腾讯的回复
梦想起航.
发表于 2020-7-19 21:11:45 | 显示全部楼层
残障人士还不够可怜吗?专门欺负这种弱者,真不是个东西啊!
daojianwuhen
发表于 2020-7-24 13:04:24 | 显示全部楼层
简直令人发指
诗芸
发表于 2020-7-29 22:08:18 | 显示全部楼层
什么人啊良心呢??
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 02:05 , Processed in 0.135107 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表