记录一次与病毒的真实接触

AMD_Ryzen

来卡饭也很长时间了，却一直没怎么在现实中遇到产生影响的病毒。这次接触也并非我个人的接触，而是一个真实的朋友在Steam账号被盗窃后告诉我他怀疑这个是病毒软件。先说下安全环境。我自己电脑上用的是坛友们当初分享的咸鱼三年加强版卡巴斯基，也同样推荐给了我的那位朋友使用

事件最初是在3月5日发生的，朋友发现他收到steam邮件提示他steam里的余额和小饰品被快速卖出并转移到另一个账号，随后他迅速修改了密码。但仍然非常担心自己其他账号的安危。第二天与我联系，我们一起分析了下疑似的病毒，是他3月4日从网站上下载的小游戏（打开以后一直在loading非常可疑），由于文件太多（大量的python文件），仅上传主程序到virustotal检查没啥用，后来又用了奇安信沙箱和微步沙箱，但一直没折腾出什么名堂。但是steam账号被盗的原因算是知道了，因为steam会在本地保存一个凭证信息文件，只要有这个就可以直接在其他电脑上登陆。最终决定向卡巴斯基上报，不过这边有点小波折，分别向opentip和newvirus邮箱英文上报之后好几天没回复，直接到前两天又从国内官网重新报告了一次，回复就快了。交流的过程大家自己看图即可，注意不要访问图中的链接哦！



卡巴斯基的回信：


但是朋友仍然担心他其他账号的安危，因此想要了解下哪些信息被盗取了，不过这次中文客服就回绝了请求。可以理解，毕竟全面分析病毒并非轻松事，而且我一开始没写清楚，应该第一次发信就把相关请求都写上，人家也好一次分析完后全部发过来





今天重新捡起以前的虚拟机配了下环境，装了坛内的那个KES 11.6。首先是发现无论是加强版还是kes，都仍然无法扫描杀，与Virustotal的扫描结果一致，当然扫描杀并不重要，仅供参考，对于压缩包，检出率是2/66。对于压缩包内的主程序Game.exe，检出率为0。基本说明该病毒不存在显著特征




接下去是在虚拟机上测试双击，卡巴斯基仍然没有反应。但是过一阵子多次弹出explorer.exe无响应的通知，选择关闭进程，文件资源管理器也并没有被结束，随后仔细检查了卡巴的日志，发现其实是与回复的邮件中所写处理方法一致，已经由Web组件完成了对恶意链接的访问的阻止。现在可以知道，前面的explorer.exe应该是病毒伪装了文件名的原因。


随后在VirusTotal上检查了相关的链接，出于篇幅考虑，仅展示其中一个，大家有兴趣可以自己去测试，结果都差不多，基本是17-20个杀软查出。而且本身这几个域名很新颖，可以看到Cluster25在4天前，也就是3月8号才报告域名与LUMMA活动相关（回顾一下，朋友是在3月4号左右遇上病毒的，而Virustotal第一次有这个域名的检查记录也就是在3月1号），社区报告具体为LummaC2 Stealer。这也能够解释为何steam账户被盗。

不过相关域名国内杀软检出率很低，坛内相关安全公司的人士可以考虑入库下


当然事件中仍然有疑点，比方说Lumma我查了下并非新病毒，估计是新的变种；在窃取账号信息时也没能触发主防

这次遇毒对我来说还蛮独特的，尤其是主防被绕过，使用的域名日期非常新，检出率也不高，有种遇到了新颖病毒的感觉，大家自行测试时也应谨慎
总的教训还是不要从奇怪网站下载不明软件

样本下载地址：https://wwbf.lanzouw.com/iAghI2qd2brc
密码：virus

Fadouse

Triage 报毒 lumma | 3f3e77406b009b01e96ab43d29ff855762a500ec96345c992a524eb203de21b4 | Triage
C2:

1. https://localfxement.live/api
   
2. https://explorebieology.run/api
   
3. https://agroecologyguide.digital/api
   
4. https://moderzysics.top/api
   
5. https://seedsxouts.shop/api
   
6. https://codxefusion.top/api
   
7. https://qfarfinable.top/api
   
8. https://techspherxe.top/api
   
9. https://cropcircleforum.today/api

复制代码

pal家族

malicious image=恶意图像

卡巴的技术支持还是一如既往的一如既往。

AMD_Ryzen

Fadouse 发表于 2025-3-12 16:50
Triage 报毒 lumma | 3f3e77406b009b01e96ab43d29ff855762a500ec96345c992a524eb203de21b4 | Triage
C2:
...

学习了！Triage厉害啊

因为triage注册申请要等一段时间，所以之前是最后测试的triage，没仔细看，static分析完以后，看到submission只能勾选32个文件，还以为一次运行，环境里只能读入32个文件呢。原来只需要勾选可执行文件就行了

飞翔的蒲公英

现在的病毒越来越鸡贼了

桔梗想见雪

Fadouse 发表于 2025-3-12 16:50
Triage 报毒 lumma | 3f3e77406b009b01e96ab43d29ff855762a500ec96345c992a524eb203de21b4 | Triage
C2:
...

triage这么贵的吗？3k美金一年，这绝对是我见过最贵的杀软了

心醉咖啡

火绒扫描miss

Nocria

Fadouse

桔梗想见雪 发表于 2025-3-12 19:53
triage这么贵的吗？3k美金一年，这绝对是我见过最贵的杀软了

这是云沙箱，个人用户免费

1094947421