频道栏目
首页 > 安全 > 网络安全 > 正文

世界杯外围投注官网

2018-10-19 10:11:15         来源:[db:作者]  
收藏   我要投稿

一、概述

通过技术溯源发现,该病毒带有"北京方正阿帕比技术有限公司"(北大方正子公司)的数字签名:"Beijing Founder Apabi Technology Limited" ,以躲避安全软件的拦截查杀,疑似为签名泄露被黑客团伙利用,建议该公司尽快排查。

\vcmlnaW5hbD0="http://www.2cto.com/uploadfile/Collfiles/20181018/20181018165842818.png" src="http://www.2cto.com/uploadfile/Collfiles/20181018/20181018165842818.png" />

"火绒产品(个人版、企业版)"最新版即可查杀该病毒。

 

二、样本分析

 

近期,火绒截获到病毒文件带有"Beijing Founder Apabi Technology Limited"签名(北京方正阿帕比技术有限公司),系北大方正集团有限公司子公司,病毒数字签名可以验证通过。如下图所示:

\

病毒数字签名

\

 

病毒数字签名

 

\

病毒数字签名

病毒运行后通过访问C&C服务器下载下载器病毒(Linking.exe和calc.exe)至本地执行,运行后会启动svchost.exe进程进行注入,被注入svchost.exe进程分别会执行不同的恶意世界杯外围投注网站逻辑。恶意世界杯外围投注网站逻辑分别包括:盗取steam账号、利用本地会话劫持强行添加QQ好友和转发QQ空间日志。病毒执行恶意行为后进程树状态,如下图所示:

\

 

病毒执行后进程树

盗取steam账号

病毒会不断搜索steam登录窗口,当搜索到steam登录窗口后,释放cuic.dll并将该动态库注入到steam.exe进程中。相关世界杯外围投注网站逻辑,如下图所示:

\

 

注入steam.exe

 

被注入的恶意世界杯外围投注网站(cuic.dll),首先会循环检测SteamUI.dll是否已经成功加载。如果成功加载,则会通过获取控件数据的方法获取世界杯体育投注平台登录信息。如下图所示:

\

循环检测SteamUI.dll

比较控件名称相关世界杯外围投注网站,如下图所示:

 

\

 

比较Steam_GetTwoFactorCode_EnterCode控件名称

恶意世界杯外围投注网站相关数据,如下图所示:

\

恶意世界杯外围投注网站相关数据

 

强行QQ好友

 

该部分病毒世界杯外围投注网站执行后,会通过本地的QQ快捷登录信息获取临时登录凭证进行会话劫持,之后强行使用世界杯体育投注平台QQ执行添加指定QQ好友、强行转发QQ空间日志。相关世界杯外围投注网站,如下图所示:

\

强行添加QQ好友

强行转发QQ空间日志相关世界杯外围投注网站,如下图所示:

 

\

 

强行转发QQ空间日志

三、附录

样本SHA256:

194323t6ttybiu7uuo7o44.png

上一篇:幽灵间谍:“TrickBot”新变种运用“无文件”技术发起攻击
下一篇:Kronos银行木马被发现,疑似新版Osiris木马
相关文章
图文推荐

关于我们 | 联系我们 | 服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑--致力于做实用的IT技术学习网站