Jump to content
Update to the Latest Version for Smooth VPN Performance ×
Kaspersky Support Forum

游戏libEGL.dll存在挖矿病毒

inbox

By inbox
in 家用产品支持

 Share

Recommended Posts

inbox

inbox

Posted
Posted

技术细节:

  • 恶意文件: libEGL.dll

  • 大小差异: 约 525 KB(正常合法的该文件通常为 377 KB 左右)。

  • SHA256: 8bacb2082eb37fd7aed5bb6a7fc766d9937d9f3ed926ae82420d37af754a216c

行为特征:

  1. 在 C:\Users\用户名\AppData\Local\syscacheapp 生成文件夹。

  2. 释放一个名为 cacheapp64.exe 的超大文件(约 750 MB)特征: GCC/MinGW 编译,高熵值。及大量伪装 DLL。

  3. 通过修改注册表 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell 实现自启动。

当前检出:
VirusTotal 上仅火绒 (Huorong) 和瑞星 (Rising) 报毒

下载信息:
链接: [https://files.catbox.moe/jmn65o.7z]
压缩包结构: 1.7z 内含 libEGL.7z (样本) 和 附件.7z (截图与结构说明)。
密码: 123

 

链接:

https://metadefender.com/results/file/bzI1MTIyOHM0RHlFWkdCazQ4emVMdGdZM2w

https://www.virustotal.com/gui/file/021b7a9269bc251e66c4de170c7e81e7e9df482c386c84b7db6e86e986dcda10

https://www.virustotal.com/gui/file/8bacb2082eb37fd7aed5bb6a7fc766d9937d9f3ed926ae82420d37af754a216c

 

已经发给*****@*****.tld了,因为不知道会不会有回复,所以发个贴子

JustMe_1337

JustMe_1337

Posted
Posted

感谢您的技术分析 我的电脑上同样存在该木马软件 当时被卡巴斯基检测到了 但是我当时无法确定 并没有处理 甚至直到目前该木马还存留在我的电脑上

 

image.thumb.png.fe86a10765701bb480f851d4494166d5.pngimage.thumb.png.ea59ffc644d54fbc27d3e62ad495fd95.png

inbox

inbox

Posted
  • Author
Posted

目前可以确定出现在免费(盗版)发放dlsite游戏的渠道里,包括著名的anime-sharing/hentai-share/ggbases

不排除是供应链投毒

rpgmaker系列引擎/TyranoScript引擎的游戏

JustMe_1337

JustMe_1337

Posted
Posted (edited)
28 minutes ago, inbox said:

目前可以确定出现在免费(盗版)发放dlsite游戏的渠道里,包括著名的anime-sharing/hentai-share/ggbases

不排除是供应链投毒

rpgmaker系列引擎/TyranoScript引擎的游戏

嗯 我就是这样中招的 在一个小时前我尝试了去dlsite中下载对应的体验版似乎并没有被卡巴侦测到 正常运行 下图是直接运行被感染的游戏

image.thumb.png.014c5bdaa4acaa3b859655bd4f4e330f.png

 

以及

稍微分析了下可以确定是木马了

 libEGL.dll 仅为loader 实际上 它释放出来的

cacheapp64.exe 第二层的loader 该执行文件会检测虚拟环境包括
x32dbg x64dbg ida64 x86_64-SSE4-AVX2 wireshark processhacker
 netstat netmon tcpview filemon regmon 
以及检测 “VirtualBox Shared Folders” 文件夹估计是检测虚拟机

 

当环境通过之后才会释放真正的毒

image.thumb.png.85c6570ea8fdb21f3f12a338ead85d7e.png

主要是不知道这玩意有没有把我的密码给偷了

以及目前卡巴斯基并不会把这个loader给删掉

image.thumb.png.997e6ad8dcd1a98af6c173add1233f52.png

 

Edited by JustMe_1337
JustMe_1337

JustMe_1337

Posted
Posted

第二层的密钥值为 wggadpqdxcsknazotxorwzkjnjldvvil

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...