400电话
在线咨询
微信咨询
咨询时间: 9:30-18:30
400-998-3555

“企鹅FM”带毒事件后续:恐为持续针对视障人士的定向投毒

  • 作者:火绒安全

  • 发布时间:2020-07-18

  • 阅读量:2001

【快讯】

近日,火绒监测到腾讯旗下企鹅FM”软件无障碍版安装包被黑客投毒,并于昨日发布紧急通知。经过连夜详细分析,火绒工程师发现该病毒运行后,除了感染文件、键盘记录、屏幕截图、浏览上传文件等常见后门行为外,还可以被黑客操控结束读屏软件进程以及关闭电脑音频,故推测为一起针对视障人士的定向投毒事件。


值得一提的是,2018冲浪星(专门为视障人士设计的辅助软件)官方就曾声明其软件被篡改投毒,我们分析后发现与火绒此次截获的病毒样本具有同源性,针对视障人士的定向投毒显然还在持续进行。


根据火绒工程师溯源分析,存在病毒的站点为企鹅FM”无障碍版开发者的个人页面,据此推测开发者的开发环境被黑客远控捆绑后门病毒,并借助开发的软件传播病毒。当用户通过企鹅FM”官网下载带毒的无障碍版安装包后,即会被植入该后门病毒。


目前,火绒可对该后门病毒进行查杀,并通过紧急升级,还可在不损坏软件的前提下对其中的感染模块进行清除。下载该软件的用户可使用火绒最新版对软件安装包进行查杀,清除病毒模块后即可放心使用。


1.png


一直以来,火绒产品都在积极兼容目前主流读屏等视障辅助软件,希望以此能够尽可能帮助相关用户及时预防潜在风险,保护终端安全。我们坚信,所有的用户都值得获得同等的对待和尊重。


附:【分析报告】


一、详细分析

火绒于近日监测到,腾讯旗下企鹅FM”官网无障碍版软件安装包被黑客投毒。该安装包在用户本地执行后,即会执行后门逻辑,根据黑客下发的后门指令执行包括:感染文件、键盘记录、屏幕截图、浏览上传文件等恶意行为。除此之外,该病毒还具有结束读屏软件进程与电脑静音的后门功能。同时,根据该后门病毒的关键数据还溯源到一个同源性样本,与另外一款视障人士专用软件(冲浪星)有关联。根据冲浪星的官方群公告得知,从20182月份开始,该软件的组件曾多次遭到恶意篡改。据此,我们基本可以断定此次攻击为针对视障人士的定向投毒。


企鹅FM”官网页面情况与页面代码,如下图所示:


2.png

企鹅FM”无障碍版官方下载链接


3.png

点击下载无障碍版后跳转到的页面


该后门病毒运行后,首先会根据自身文件附加数据释放、运行原始企鹅FM”安装包,之后将自身PE镜像数据释放至%Program Files%Windows Media Playerwmplayerwmplayer.exe执行,并且将wmplayer.exe创建为计划任务。病毒文件结构,如下图所示:


4.png

病毒文件结构


首先,病毒运行后会启动svchost.exe进行注入,被注入后的svchost.exe进程会执行后门逻辑,根据远程C&C服务器(tldw8.cn)返回的指令执行指定操作,如:感染文件、键盘记录、屏幕截图、浏览上传文件等。相关代码,如下图所示:


5.png

注入svchost.exe相关代码


6.png


病毒相关进程

后门逻辑调用代码,如下图所示:


7.png

后门逻辑调用代码

后门逻辑首先会解密后门指令,之后再调用后门指令派发函数执行后门操作。相关代码,如下图所示:


8.png

后门指令解析和派发代码


9.png

后门逻辑代码

此后门功能众多,相关代码如下图所示:


10.png

部分后门指令


在后门指令中,还包括感染可执行文件相关功能。根据感染逻辑可见,被感染的可执行文件与之前上文中提到的病毒文件结构相同,所以可以确定企鹅FM”官网下载到的病毒文件就是被该后门病毒所感染。相关代码逻辑,如下图所示:


11.png

感染代码

此外,我们还发现后门指令中具有停止读屏,电脑静音的功能,此类功能在其它后门病毒中几乎从未见到。相关代码如下图所示:


12.png

停止读屏相关代码


13.png

电脑静音相关代码

二、同源分析

通过我们溯源分析发现一个带有冲浪星(官方介绍:专为视障人士量身打造的综合性上网辅助程序)标识的程序文件,也带有此次后门病毒相同的解密密钥(WDRJ@139.com)及C&C服务器地址(tldw8.cn)。在此款程序文件中,具有与官方版本冲浪星同源代码,但并没有发现后门功能相关代码。且从冲浪星的官方交流群中得知该软件曾多次遭到恶意篡改,且时间上与溯源发现的样本相吻合。相关同源代码如下图所示:


14.png

来源不明冲浪星与官方版本冲浪星同源代码对比


15.png

此次后门病毒与来源不明冲浪星同源代码对比


16.png

冲浪星官方交流群说明


17.png

溯源发现的样本时间信息


三、附录

样本hash


18.png

 

安全无忧,一键开启

全面提升您的系统防护