“企鹅FM”带毒事件后续：恐为持续针对视障人士的定向投毒

火绒安全实验室

【快讯】
近日，火绒监测到腾讯旗下“企鹅FM”软件无障碍版安装包被黑客投毒，并于昨日发布紧急通知。经过连夜详细分析，火绒工程师发现该病毒运行后，除了感染文件、键盘记录、屏幕截图、浏览上传文件等常见后门行为外，还可以被黑客操控结束读屏软件进程以及关闭电脑音频，故推测为一起针对视障人士的定向投毒事件。值得一提的是，2018年“冲浪星”（专门为视障人士设计的辅助软件）官方就曾声明其软件被篡改投毒，我们分析后发现与火绒此次截获的病毒样本具有同源性，针对视障人士的定向投毒显然还在持续进行。根据火绒工程师溯源分析，存在病毒的站点为“企鹅FM”无障碍版开发者的个人页面，据此推测开发者的开发环境被黑客远控捆绑后门病毒，并借助开发的软件传播病毒。当用户通过“企鹅FM”官网下载带毒的无障碍版安装包后，即会被植入该后门病毒。目前，火绒可对该后门病毒进行查杀，并通过紧急升级，还可在不损坏软件的前提下对其中的感染模块进行清除。下载该软件的用户可使用火绒最新版对软件安装包进行查杀，清除病毒模块后即可放心使用。


一直以来，火绒产品都在积极兼容目前主流读屏等视障辅助软件，希望以此能够尽可能帮助相关用户及时预防潜在风险，保护终端安全。我们坚信，所有的用户都值得获得同等的对待和尊重。
附：【分析报告】

一、详细分析
火绒于近日监测到，腾讯旗下“企鹅FM”官网无障碍版软件安装包被黑客投毒。该安装包在用户本地执行后，即会执行后门逻辑，根据黑客下发的后门指令执行包括：感染文件、键盘记录、屏幕截图、浏览上传文件等恶意行为。除此之外，该病毒还具有结束读屏软件进程与电脑静音的后门功能。同时，根据该后门病毒的关键数据还溯源到一个同源性样本，与另外一款视障人士专用软件（“冲浪星”）有关联。根据“冲浪星”的官方群公告得知，从2018年2月份开始，该软件的组件曾多次遭到恶意篡改。据此，我们基本可以断定此次攻击为针对视障人士的定向投毒。“企鹅FM”官网页面情况与页面代码，如下图所示：


“企鹅FM”无障碍版官方下载链接



点击“下载无障碍版“后跳转到的页面该后门病毒运行后，首先会根据自身文件附加数据释放、运行原始“企鹅FM”安装包，之后将自身PE镜像数据释放至%Program Files%\Windows Media Player\wmplayer\wmplayer.exe执行，并且将wmplayer.exe创建为计划任务。病毒文件结构，如下图所示：




病毒文件结构首先，病毒运行后会启动svchost.exe进行注入，被注入后的svchost.exe进程会执行后门逻辑，根据远程C&C服务器（tldw8.cn）返回的指令执行指定操作，如：感染文件、键盘记录、屏幕截图、浏览上传文件等。相关代码，如下图所示：



注入svchost.exe相关代码        


病毒相关进程

后门逻辑调用代码，如下图所示：


后门逻辑调用代码

后门逻辑首先会解密后门指令，之后再调用后门指令派发函数执行后门操作。相关代码，如下图所示：


后门指令解析和派发代码


后门逻辑代码


此后门功能众多，相关代码如下图所示：


部分后门指令

在后门指令中，还包括感染可执行文件相关功能。根据感染逻辑可见，被感染的可执行文件与之前上文中提到的病毒文件结构相同，所以可以确定“企鹅FM”官网下载到的病毒文件就是被该后门病毒所感染。相关代码逻辑，如下图所示：


感染代码

此外，我们还发现后门指令中具有停止读屏，电脑静音的功能，此类功能在其它后门病毒中几乎从未见到。相关代码如下图所示：


停止读屏相关代码


电脑静音相关代码


二、同源分析
通过我们溯源分析发现一个带有 “冲浪星”（官方介绍：专为视障人士量身打造的综合性上网辅助程序）标识的程序文件，也带有此次后门病毒相同的解密密钥（WDRJ@139.com）及C&C服务器地址（tldw8.cn）。在此款程序文件中，具有与官方版本“冲浪星”同源代码，但并没有发现后门功能相关代码。且从“冲浪星”的官方交流群中得知该软件曾多次遭到恶意篡改，且时间上与溯源发现的样本相吻合。相关同源代码如下图所示：


来源不明“冲浪星”与官方版本“冲浪星”同源代码对比


此次后门病毒与来源不明“冲浪星”同源代码对比


“冲浪星”官方交流群说明


溯源发现的样本时间信息


三、附录
样本hash

detecttt

这种行为非常恶劣，我们不要求你同情、帮助特殊人群，但至少不应该欺负他们！

_达圣

整件事太讽刺了，和老干妈事件一样，说的做的一套一套的。
标榜：上帝给你关上一扇门，企鹅为你打开一扇窗。
实际：从企鹅官网下载的“无障碍”版本带毒。
从结果上看，鹅厂就是这样来给那批特定群体开窗的？吃瓜群众们又一次缓缓打出个问号。
估且不论是被投毒还是怎样，大厂作为曾和360硬刚的存在，真的没能力发现这点后门？
作为又一个讽刺的对比，“冲浪星”的后续操作简直把大厂按在地上磨擦。
投“毒”者应受谴责，鹅厂两次送人头，不同样应该深刻自察吗？

阿宁

欺负残疾人真的过分了

wasami

qq浏览器会对52的火绒的报告此病毒的第一个帖子,提示此网站有风险, 真厉害

爱拍阴天

很反感有人针对残障人士

漫辰0528

作为一名视障者，说实在的没想过无障碍这个话题是这样出现在大众眼前的。再说病毒，干掉我屏幕阅读器进程，强制静音计算机真的过分了啊！我也是一名视障开发者，保护开发环境安全，尽可能确保自己的程序不被感染，是责任，也是义务。

辉夜年华

真的是过分了，有黑客能力，还用来欺负弱者。

堕落怪物

开发者环境被感染,值得反思

benzunyh

等下，鹅厂堪比国防的防火墙呢

nixingge

开发者环境被感染,值得反思

zhongjidps

怎么还有这么恶心的人

风轻然雨朦胧

zhongjidps 发表于 2020-7-18 10:02
怎么还有这么恶心的人

林子大了,什么鸟都有

越飞越远

实在过分，鄙视👎

ilig33

感谢火绒。

刀大喵

来了 来了