游戏安全实验室游戏漏洞外挂分析

【资讯】火绒安全警报：疑似方正集团子公司签名泄露遭黑客利用盗取Steam账号 ... ... ...

发布于：2018-9-14 15:11 | 152857次阅读作者: 外部投稿 | 原作者: 火绒安全团队

一、概述
日前，火绒安全团队发出警报，火绒工程师截获下载器病毒Apametheus，该病毒入侵电脑后会下载多个病毒模块，病毒模块运
行后，将盗取steam账号，同时劫持用户QQ临时登录权限，强行添加QQ好友、转发空间，散播违法信息。
通过技术溯源发现，该病毒带有"北京方正阿帕比技术有限公司"（北大方正子公司）的
数字签名："Beijing Founder Apabi Technology Limited" ，以躲避安全软件的拦截查杀，疑似为签名泄露被黑客团伙利
用，建议该公司尽快排查。

"火绒产品（个人版、企业版）"最新版即可查杀该病毒。

二、样本分析
近期，火绒截获到病毒文件带有"Beijing Founder Apabi Technology Limited"签名（北京方正阿帕比技术有限公司），
系北大方正集团有限公司子公司，病毒数字签名可以验证通过。如下图所示：

病毒数字签名

病毒数字签名

病毒数字签名
病毒运行后通过访问C&C服务器下载下载器病毒（Linking.exe和calc.exe）至本地执行，运行后会启动svchost.exe进程进行注
入，被注入svchost.exe进程分别会执行不同的恶意代码逻辑。恶意代码逻辑分别包括：盗取steam账号、利用本地会话劫持
强行添加QQ好友和转发QQ空间日志。病毒执行恶意行为后进程树状态，如下图所示：