Ronifue Posted 9 hours ago Posted 9 hours ago 样本链接:https://c.wss.pet/f/hjiomdpue4r 压缩包密码为infected,使用的不限速快传网站默认保留文件7天,请注意及时保存样本。 该样本来自于某讨论病毒样本的QQ群聊,自称“盯了传毒的5个月”的群友,该样本来源应该是Steam上的壁纸软件Wallpaper Engine的创意工坊,如果属实,应该是Steam盗号木马。 该样本卡巴斯基没有报毒,但是按照该群友言之凿凿的语气,以及它给出的来自火绒安全的安全报告:https://mp.weixin.qq.com/s/_2qOSmJv0BkW_WJTaOolwg,该样本的目录结构也与火绒安全报告中的样本相似,都有疑似使用python编写的特征,故希望上报给卡巴斯基安全专家进行鉴定。 如果样本确实为木马,希望及时将该类木马更新至卡巴斯基病毒库中,并持续关注该类木马的活跃。
Ronifue Posted 6 hours ago Author Posted 6 hours ago 1 hour ago, Wesly.Zhang said: Hello, 上传的文件,不包含恶意代码。 以上是当事人对你的回复,我仅做消息转发,既然当事人都已经表示火绒已经能够查杀,那就说明该样本确实为木马。 卡巴斯基应该是业内首屈一指的防病毒软件,对于样本上报能够如此敷衍吗?希望上报回卡巴斯基实验室,及时将该类木马更新至卡巴斯基病毒库中,并持续关注该类木马的活跃。 1 hour ago, Wesly.Zhang said: Hello, 上传的文件,不包含恶意代码。 此外有关该木马的相应信息特征,与我之前提到的火绒安全报告当中的类似,你不会连人家的报告都没有看吧? 以下是其他群友提供的其他主防软件的截图,可以看到其明显具有可疑软件的特征
wwwab Posted 5 hours ago Posted 5 hours ago 您好, 分析了一下,确认在附件中发现了新的恶意软件。 此次发现的恶意软件变种相较于国内安全厂商的历史分析报告而言更加升级了。 具体如下: 1. 启动器 在"小红车病毒7.21.rar => lib\library.zip => __main__launcher.pyc"文件中,发现如下图所示代码: 其中,在main()函数中的代码充当了下文中恶意软件启动器的作用: Quote #获取当前工作目录路径 current_dir = get_base_dir() #在当前工作目录路径后拼接"\ReadMe\Manual" prog1_dir = os.path.join(current_dir, 'ReadMe', 'Manual') #启动"\ReadMe\Manual\ManualsUpdateService.exe"程序 #启动恶意软件 run_program('ManualsUpdateService.exe', prog1_dir, True) #在当前工作目录路径后拼接"\etc\mono" prog2_dir = os.path.join(current_dir, 'etc', 'mono') #启动"\etc\mono\Doujin Fever!! Affection!.exe" #启动正常游戏 run_program('Doujin Fever!! Affection!.exe', prog2_dir, False) 2. Steam密钥窃取器 在"小红车病毒7.21.rar => ReadMe\Manual\lib\library.zip => __main__3.pyc"文件中,发现Steam密钥Stealer,其会尝试包括寻找Steam.exe进程、获取Steam安装目录、解密并上传Steam Token、解密并上传Steam内存令牌等,相关恶意代码如下图所示: 其中,可以看到,样本首先通过检测"360Safe.exe" "360Tray.exe" "360sd.exe" "360rp.exe" "QHActiveDefense.exe"是否存在,若不存在则添加自启动,否则添加自启动,相关代码如下图所示: 该pyc将由"\ReadMe\Manual\ManualsUpdateService.exe"程序加载并执行。 经过研判,目前可以确认为《“赛博花柳”借Wallpaper Engine入侵——剖析Steam盗号产业链》(https://mp.weixin.qq.com/s/_2qOSmJv0BkW_WJTaOolwg)一文中的恶意软件的当前最新变种。 Best regards, Malware researcher, wwwab
wwwab Posted 4 hours ago Posted 4 hours ago SHA-256 "小红车病毒7.21.rar": 93cca19ac35a6ddc412c93a4c7939d9205a9fc6ec5ac511899cc81fc035b26c0 "小红车病毒7.21.rar => lib\library.zip": 8d7aa9b96492afad3af96abd13292be77f547439366878067f427b2bb16ad56a "小红车病毒7.21.rar => lib\library.zip => __main__launcher.pyc": fe305c4a386528719bcdecac9aadedb34ad05bb1bc7ea028fd41254a7d107e9f "小红车病毒7.21.rar => ReadMe\Manual\lib\library.zip": e9997f5f74a997c19b9a110666022fa1d1c391db3f769030d3e98d4d1a506c0b "小红车病毒7.21.rar => ReadMe\Manual\lib\library.zip => __main__3.pyc": 10e55e92629eae85869c1993eb373be0d669efe3436a05bcc1babbf1333eea87
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now