• 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 候选企业:中国石油呼和浩特石化公司 2019-03-26
  • 航天员沙漠野外生存训练完美收官!为第一天团打call 2019-03-25
  • 请问,建立市场经济后,原计划经济哪里去?改革后,我们还在实行计划经济,为何没有提及? 2019-03-25
  • 频道栏目
    神奇公式秒杀全国11选5 > 安全 > 网络安全 > 正文

    11选5每期必中的万能码:疑似方正集团子公司签名泄露 遭黑客利用盗取Steam账号

    2018-10-19 10:11:15         来源:[db:作者]  
    收藏   我要投稿

    神奇公式秒杀全国11选5 www.2zfa.com 一、概述

    通过技术溯源发现,该病毒带有"北京方正阿帕比技术有限公司"(北大方正子公司)的数字签名:"Beijing Founder Apabi Technology Limited" ,以躲避安全软件的拦截查杀,疑似为签名泄露被神奇公式秒杀全国11选5团伙利用,建议该公司尽快排查。

    \vcmlnaW5hbD0="//www.2zfa.com/uploadfile/Collfiles/20181018/20181018165842818.png" src="//www.2zfa.com/uploadfile/Collfiles/20181018/20181018165842818.png" />

    "火绒产品(个人版、企业版)"最新版即可查杀该病毒。

     

    二、样本分析

     

    近期,火绒截获到病毒文件带有"Beijing Founder Apabi Technology Limited"签名(北京方正阿帕比技术有限公司),系北大方正集团有限公司子公司,病毒数字签名可以验证通过。如下图所示:

    \

    病毒数字签名

    \

     

    病毒数字签名

     

    \

    病毒数字签名

    病毒运行后通过访问C&C服务器下载下载器病毒(Linking.exe和calc.exe)至本地执行,运行后会启动svchost.exe进程进行注入,被注入svchost.exe进程分别会执行不同的恶意代码逻辑。恶意代码逻辑分别包括:盗取steam账号、利用本地会话劫持强行添加QQ好友和转发QQ空间日志。病毒执行恶意行为后进程树状态,如下图所示:

    \

     

    病毒执行后进程树

    盗取steam账号

    病毒会不断搜索steam登录窗口,当搜索到steam登录窗口后,释放cuic.dll并将该动态库注入到steam.exe进程中。相关代码逻辑,如下图所示:

    \

     

    注入steam.exe

     

    被注入的恶意代码(cuic.dll),首先会循环检测SteamUI.dll是否已经成功加载。如果成功加载,则会通过获取控件数据的方法获取用户登录信息。如下图所示:

    \

    循环检测SteamUI.dll

    比较控件名称相关代码,如下图所示:

     

    \

     

    比较Steam_GetTwoFactorCode_EnterCode控件名称

    恶意代码相关数据,如下图所示:

    \

    恶意代码相关数据

     

    强行QQ好友推广

     

    该部分病毒代码执行后,会通过本地的QQ快捷登录信息获取临时登录凭证进行会话劫持,之后强行使用用户QQ执行添加指定QQ好友、强行转发QQ空间日志。相关代码,如下图所示:

    \

    强行添加QQ好友

    强行转发QQ空间日志相关代码,如下图所示:

     

    \

     

    强行转发QQ空间日志

    三、附录

    样本SHA256:

    194323t6ttybiu7uuo7o44.png

    上一篇:幽灵间谍:“TrickBot”新变种运用“无文件”技术发起攻击
    下一篇:Kronos银行木马被发现,疑似新版Osiris木马
    相关文章
    图文推荐

    关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 神奇公式秒杀全国11选5

    版权所有: 神奇公式秒杀全国11选5--致力于做实用的IT技术学习网站

  • 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 候选企业:中国石油呼和浩特石化公司 2019-03-26
  • 航天员沙漠野外生存训练完美收官!为第一天团打call 2019-03-25
  • 请问,建立市场经济后,原计划经济哪里去?改革后,我们还在实行计划经济,为何没有提及? 2019-03-25
  • 黑龙江快乐10分 甘肃快三开奖 湖南幸运赛车遗漏 百灵诈金花金币 乒乓球打法视频 双色球17037期杀红球 白小姐祺袍12彩图百度 095最准杀一尾中特 河北十一选五组选号码 腾讯分分彩投注分享 陕西快乐10分钟开奖 篮彩胜分差投注技巧 咋天六合彩开什么 北京有北京时时彩么 青海快3走势图今天预测