社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
发帖 回复
« 返回列表
  • 758阅读
  • 3回复

[分享]用户请注意!腾讯“企鹅FM”软件官方下载链接携带病毒

 楼层直达
z3960 
级别: 茶馆馆主
发帖
770867
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8
只看楼主 更多操作 0 发表于: 2020-07-18
近日,有用户反馈下载腾讯旗下软件“企鹅FM无障碍(PC版)”时被火绒报毒,火绒工程师紧急查看后发现,该软件确实携带恶意代码,并非火绒误报,我们也紧急联系腾讯官方告知此事,并提供相关分析供排查威胁,火绒后续也会发布针对该病毒的详细分析。此外,我们建议广大用户暂时不要下载或使用该软件,等待官方公布解决方案,避免遭遇信息泄漏等安全风险。[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif] [font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]根据火绒工程师分析发现,通过“企鹅[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]FM[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]”官网下载“无障碍”版本时,即会感染该病毒。[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]附【简要分析】[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]企鹅FM(fm.qq.com)软件官网中“下载无障碍版”点击后会跳转到链接:hxxps://qzs.qzone.qq.com/qzone/qzact/act/external/fm_static/fm_pc/index.html,在该页面中再次点击“下载无障碍版”后会下载病毒文件。相关页面情况与页面代码,如下图所示:[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][size=14.6667px] [font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]企鹅FM官网页面[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][size=14.6667px] [font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]点击“下载无障碍版“后跳转到的页面[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif] [font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]病毒运行后进程树信息,如下图所示:[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][size=14.6667px] [font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]病毒运行后会在本地释放更多病毒文件执行,并禁用Windows Defender。病毒相关代码,如下图所示:[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][size=14.6667px] [font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]病毒代码[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]病毒相关数据,如下图所示:[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][size=14.6667px] [font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]、[font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif][font=-apple-system, BlinkMacSystemFont, 'Segoe UI', Tahoma, 'PingFang SC', 'Hiragino Sans GB', 'Microsoft Yahei', Simsun, sans-serif]病毒数据
关键词: 下载 软件 提供 安全
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
回复 引用
举报
z3960 
级别: 茶馆馆主
发帖
770867
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8
只看该作者 1 发表于: 2020-07-18
近日,火绒监测到腾讯旗下“企鹅FM”软件无障碍版安装包被黑客投毒,并于昨日发布紧急通知。经过连夜详细分析,火绒工程师发现该病毒运行后,除了感染文件、键盘记录、屏幕截图、浏览上传文件等常见后门行为外,还可以被黑客操控结束读屏软件进程以及关闭电脑音频,故推测为一起针对视障人士的定向投毒事件。值得一提的是,2018年“冲浪星”(专门为视障人士设计的辅助软件)官方就曾声明其软件被篡改投毒,我们分析后发现与火绒此次截获的病毒样本具有同源性,针对视障人士的定向投毒显然还在持续进行。根据火绒工程师溯源分析,存在病毒的站点为“企鹅FM”无障碍版开发者的个人页面,据此推测开发者的开发环境被黑客远控捆绑后门病毒,并借助开发的软件传播病毒。当用户通过“企鹅FM”官网下载带毒的无障碍版安装包后,即会被植入该后门病毒。目前,火绒可对该后门病毒进行查杀,并通过紧急升级,还可在不损坏软件的前提下对其中的感染模块进行清除。下载该软件的用户可使用火绒最新版对软件安装包进行查杀,清除病毒模块后即可放心使用。 一直以来,火绒产品都在积极兼容目前主流读屏等视障辅助软件,希望以此能够尽可能帮助相关用户及时预防潜在风险,保护终端安全。我们坚信,所有的用户都值得获得同等的对待和尊重。附:【分析报告】一、详细分析火绒于近日监测到,腾讯旗下“企鹅FM”官网无障碍版软件安装包被黑客投毒。该安装包在用户本地执行后,即会执行后门逻辑,根据黑客下发的后门指令执行包括:感染文件、键盘记录、屏幕截图、浏览上传文件等恶意行为。除此之外,该病毒还具有结束读屏软件进程与电脑静音的后门功能。同时,根据该后门病毒的关键数据还溯源到一个同源性样本,与另外一款视障人士专用软件(“冲浪星”)有关联。根据“冲浪星”的官方群公告得知,从2018年2月份开始,该软件的组件曾多次遭到恶意篡改。据此,我们基本可以断定此次攻击为针对视障人士的定向投毒。“企鹅FM”官网页面情况与页面代码,如下图所示: 企鹅FM”无障碍版官方下载链接 点击“下载无障碍版“后跳转到的页面该后门病毒运行后,首先会根据自身文件附加数据释放、运行原始“企鹅FM”安装包,之后将自身PE镜像数据释放至%Program Files%Windows Media Playerwmplayerwmplayer.exe执行,并且将wmplayer.exe创建为计划任务。病毒文件结构,如下图所示: 病毒文件结构首先,病毒运行后会启动svchost.exe进行注入,被注入后的svchost.exe进程会执行后门逻辑,根据远程C&C服务器(tldw8.cn)返回的指令执行指定操作,如:感染文件、键盘记录、屏幕截图、浏览上传文件等。相关代码,如下图所示: 注入svchost.exe相关代码         病毒相关进程后门逻辑调用代码,如下图所示: 后门逻辑调用代码后门逻辑首先会解密后门指令,之后再调用后门指令派发函数执行后门操作。相关代码,如下图所示: 后门指令解析和派发代码 门逻辑代码此后门功能众多,相关代码如下图所示: 部分后门指令在后门指令中,还包括感染可执行文件相关功能。根据感染逻辑可见,被感染的可执行文件与之前上文中提到的病毒文件结构相同,所以可以确定“企鹅FM”官网下载到的病毒文件就是被该后门病毒所感染。相关代码逻辑,如下图所示: 感染代码此外,我们还发现后门指令中具有停止读屏,电脑静音的功能,此类功能在其它后门病毒中几乎从未见到。相关代码如下图所示: 停止读屏相关代码 电脑静音相关代码二、同源分析通过我们溯源分析发现一个带有 “冲浪星”(官方介绍:专为视障人士量身打造的综合性上网辅助程序)标识的程序文件,也带有此次后门病毒相同的解密密钥(WDRJ@139.com)及C&C服务器地址(tldw8.cn)。在此款程序文件中,具有与官方版本“冲浪星”同源代码,但并没有发现后门功能相关代码。且从“冲浪星”的官方交流群中得知该软件曾多次遭到恶意篡改,且时间上与溯源发现的样本相吻合。相关同源代码如下图所示: 来源不明“冲浪星”与官方版本“冲浪星”同源代码对比 此次后门病毒与来源不明“冲浪星”同源代码对比 “冲浪星”官方交流群说明 溯源发现的样本时间信息三、附录样本hash
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
834561
飞翔币
226674
威望
224648
飞扬币
2447278
信誉值
0
只看该作者 2 发表于: 2020-07-18
来看一下
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
834561
飞翔币
226674
威望
224648
飞扬币
2447278
信誉值
0
只看该作者 3 发表于: 2020-07-18
不错,了解了
回复 引用
举报
发帖 回复
« 返回列表