吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12951|回复: 224
收起左侧

[PC样本分析] 谨防数据泄露!“即刻PDF阅读器”内置后门收集用户隐私

     关闭 [复制链接]
火绒安全实验室 发表于 2022-8-19 16:00
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2022-8-19 16:08 编辑

近期,火绒安全团队发现“即刻PDF阅读器”内置后门程序,该后门程序会在用户不知情的情况下,从C&C服务器上下载恶意配置文件,再根据配置文件下载恶意模块到用户电脑中。目前发现该病毒会肆意收集用户个人隐私信息,如:QQ号、淘宝昵称、电商购物记录、电商和搜索引擎搜索记录等隐私数据。


通过对其代码和功能进行对比、溯源发现,该病毒和2020年就被火绒安全曝光的“起点PDF阅读器”“新速压缩”等软件存在同源性(详见《多款软件内置后门程序可监视并肆意操控用户电脑》https://www.huorong.cn/info/1592489908487.html),并且其同源样本已经多次被火绒发现并查杀。

Image-0.png

病毒查杀图


该病毒作者通过开发类似上述软件并内置后门程序来收集用户个人隐私数据已长达数年。通过“即刻PDF阅读器”安装包的数字签名,可以得知该软件由深圳市重诚远顺科技有限公司开发,相关信息如下图所示:

Image-1.png

即刻PDF阅读器安装包数字签名


经企业信息检索核实,可确认“即刻PDF阅读器”为该公司所开发软件,相关备案和软件著作权信息如下图所示:

Image-2.png

其网站备案、软件著作权信息


该病毒具有极高的隐蔽性:向C&C服务器请求恶意模块时,C&C服务器会根据用户的地理位置等信息进行下发配置,让安全人员取证过程变得困难。火绒工程师帮助用户处理该病毒问题时,发现该病毒还会通过注册表回调来禁止软件的驱动加载。在即刻PDF阅读器目录下,还发现多个被加密的恶意模块,在此次取证过程中,只获取到收集个人隐私信息相关的恶意模块,不排除其后续下发更多恶意模块的可能性。即刻PDF软件目录下大部分可执行文件都携带恶意功能如: JiKeSteor.exe、JiKeHcores.exe、JiKeIterh.exe、JikeMrong.exe等可执行文件,以下分析以JikeSteor.exe为例,病毒执行流程图如下所示:

Image-3.png

病毒执行流程图


样本分析
JiKeSteor.exe恶意模块会根据云控配置信息来下载任意恶意模块。恶意模块通过多层解密、加载的方式来躲避杀毒软件的查杀,还会检测用户电脑上的安全软件,相关代码,如下图所示:

Image-4.png

检测安全软件

被检测的安全软件列表,如下图所示:

企业微信截图_16608896865376.png
被检测的安全软件



向服务器请求配置文件,相关代码,如下图所示:

Image-6.png
下载配置文件



解密后的文件内容,如下图所示:

Image-7.png
解密后的文件内容


根据配置文件的内容下载、加载恶意模块b024b1ac2de.dll,相关代码,如下图所示:

Image-8.png
下载、加载恶意模块



b024b1ac2de.dll被加载之后,会从资源中解密恶意模块a74746.dll,相关代码,如下图所示:

Image-9.png
加载资源中的a74746.dll模块



在a74746.dll模块中会收集用户的各种隐私数据如:谷歌、百度、淘宝、京东、天猫等网站的搜索内容、系统进程信息、当前活跃的窗口标题等隐私数据。收集用户系统的进程信息,相关代码,如下图所示:
Image-10.png
获取当前进程信息



将进程相关信息上传至C&C服务器,相关代码,如下图所示:

Image-11.png
上传用户进程信息



收集当前活动窗口标题并上传至C&C服务器,相关代码,如下图所示:

Image-12.png
获取当前活动窗口标题并上传至C&C服务器



从各个浏览器的历史记录数据库中获取谷歌、百度、淘宝、京东、天猫等搜索内容信息,以360安全浏览器为例,定位浏览器数据库文件,相关代码,如下图所示:
Image-13.png
定位数据库文件


使用SQL语句在数据库文件中搜索历史信息,相关代码,如下图所示:

Image-14.png
搜索的信息


Image-15.png

SQL语句搜索指定记录



将收集到的信息,上传至C&C服务器,相关代码,如下图所示:

Image-16.png
上传浏览器历史记录数据


涉及到的相关浏览器列表,如下图所示:



Image-17.png
涉及浏览器列表



a74746.dll恶意模块还会请求新的配置文件来带参数运行JikeIterh.exe模块来下载、解密执行新的恶意模块WindowPop.dll,相关代码,如下图所示:

Image-18.png
解密执行新的恶意模块WindowPop.dll



在WindowPop.dll恶意模块中会获取各个浏览器的数据库文件,从中获取用户淘宝昵称;淘宝、天猫商店中浏览过物品ID等隐私信息后并通知C&C服务器,相关代码,如下图所示:


Image-19.png
获取淘宝相关信息,并通知C&C服务器



从浏览器的历史记录数据库文件中获取用户浏览过商品ID,相关代码,如下图所示:

Image-20.png
从浏览器history数据库文件中获取用户浏览过商品ID



WindowPop.dll恶意模块会根据一些游戏(英雄联盟、地下城与勇士、穿越火线、天涯明月刀)的配置文件找到用户的QQ账号并通知C&C服务器,以英雄联盟为例,相关代码,如下图所示:
Image-21.png
收集QQ账号并通知C&C服务器



WindowPop.dll恶意模块会在后台静默安装爱奇艺、酷狗、酷我等软件,以酷我为例,相关代码,如下图所示:

Image-22.png
后台静默安装软件



在WindowPop.dll恶意模块中还会定期弹出广告窗口,相关代码,如下图所示:

Image-23.png
弹出广告窗口





同源性分析

加载远程恶意模块代码同源性对比,如下图所示:



Image-24.png
同源性对比



C&C服务器下发的配置文件对比,如下图所示:

Image-25.png
配置文件对比



附录

C&C服务器:

Image-26.png


病毒HASH:

Image-27.png

点评

建议贵司将此类涉嫌违法犯罪的线索移交***机关、网安部门。  发表于 2022-8-24 12:46
www.zsincer.com/statement.html《想甩锅但是因为证据确凿不能完全甩掉的官方声明》  发表于 2022-8-21 18:25

免费评分

参与人数 158吾爱币 +154 热心值 +147 收起 理由
xyer8 + 1 + 1 谢谢@Thanks!
temder + 1 + 1 谢谢@Thanks!
kam1kazeeminem + 1 + 1 鼓励转贴优秀软件安全工具和文档!
yang070917 + 1 + 1 我很赞同!
zhy1496 + 1 + 1 我很赞同!
x362501 + 1 + 1 我很赞同!
liehuo1233 + 1 + 1 谢谢@Thanks!
终极龙卷风 + 1 + 1 我很赞同!
9324 + 1 + 1 热心回复!
myhexdon254 + 1 + 1 我很赞同!
feitai01 + 1 谢谢@Thanks!
dijiang233 + 1 我很赞同!
小明是·个画家 + 1 + 1 我很赞同!
zhengsuijian + 1 + 1 谢谢@Thanks!
maiwens + 1 + 1 谢谢@Thanks!
JinxBoy + 1 膜拜大佬
afak + 1 + 1 热心回复!
521105 + 1 我很赞同!
waiting999 + 2 + 1 我很赞同!
mingle1229 + 1 + 1 我很赞同!
jstar + 1 + 1 热心回复!
haohuixin0915 + 1 + 1 杀软净土
心睡 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
virs520 + 1 + 1 我很赞同!
HunterVv + 1 + 1 我很赞同!
thebeloved + 1 + 1 用心讨论,共获提升!
JonesDean + 1 为民众除害
\CPU\ + 2 + 1 我很赞同!
得不到的在骚动 + 1 + 1 用心讨论,共获提升!
固态沉淀 + 1 + 1 谢谢@Thanks!
梦涯 + 1 + 1 谢谢@Thanks!
xiaoniua33 + 1 + 1 我很赞同!
cww18862144459 + 1 + 1 111
vzionv + 1 + 1 鼓励转贴优秀软件安全工具和文档!
777seven + 1 + 1 用心讨论,共获提升!
wang145696 + 1 + 1 支持支持,就喜欢火绒这样的
lastwhisper + 1 + 1 谢谢@Thanks!
wedh + 1 + 1 我很赞同!
SRYTNT + 1 + 1 膜拜
plots + 1 + 1 热心回复!
nakasou + 2 + 1 热心回复!
jssqgl + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yaoww + 1 我很赞同!
溺海 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
skiss + 1 + 1 谢谢@Thanks!
resu + 1 + 1 我很赞同!
ldl2004 + 1 + 1 谢谢@Thanks!
detectiveke + 1 + 1 支持火绒
我本是一介书生 + 1 + 1 热心回复!
Zhengzx + 1 + 1 我很赞同!
拉登已被我干掉 + 1 + 1 辛苦了
一个快乐的富豪 + 1 + 1 我很赞同!
UUUBINGOOO + 1 + 1 我很赞同!
开心熊猫741 + 1 + 1 声明笑死我了
昌昌 + 1 + 1 我很赞同!
Zhaofeiyan + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
SAPLU + 1 + 1 我很赞同!
imGz + 1 + 1 谢谢@Thanks!
烧饼馒头包子 + 1 + 1 我很赞同!
nywthy + 1 + 1 请报警处理,严惩此类违法犯罪行为,谢谢。
catchwind + 1 + 1 支持火绒!安静得可以忘了它的存在,不像其他一大堆广告
15936635124 + 1 谢谢@Thanks!
fin618 + 1 + 1 热心回复!
codefox + 1 我很赞同!
lming002003 + 1 + 1 谢谢@Thanks!
zjk2070 + 1 + 1 我很赞同!
xiaoxinya + 1 + 1 谢谢@Thanks!
嘴角微微上扬 + 1 + 1 牛啊牛啊,感觉这才是“卫士”,不仅发现还要揭露。
cshadow + 1 + 1 用心讨论,共获提升!
anucleus314159 + 1 + 1 用心讨论,共获提升!
Toxiaoshu + 1 + 1 热心回复!
FengKunArt + 1 + 1 我很赞同!
巡山的小旋风 + 1 + 1 我很赞同!
AaJie + 1 + 1 我很赞同!
yeeeeeeeee + 1 + 1 谢谢@Thanks!
JetJerry + 1 + 1 我很赞同!
闻道沐心 + 1 + 1 谢谢@Thanks!
sz_panda + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
4899 + 1 + 1 我很赞同!
MRC1999 + 1 + 1 谢谢@Thanks!
watcherrr + 1 + 1 用心讨论,共获提升!
eutaxy + 1 + 1 鼓励转贴优秀软件安全工具和文档!
chenxiran + 1 + 1 谢谢@Thanks!
wq6225 + 1 用心讨论,共获提升!
无常gui + 1 + 1 我很赞同!
没事路过 + 1 + 1 我很赞同!
13507520538 + 1 我很赞同!
沙滩上de水瓶 + 3 + 1 喜欢火绒
___Simple_love_ + 1 + 1 用心讨论,共获提升!
爱幸运 + 1 + 1 我很赞同!
耄耋之人 + 1 + 1 我很赞同!
xiaoyue7788 + 1 + 1 用心讨论,共获提升!
hfxfv + 1 热心回复!
蒋天 + 1 + 1 谢谢@Thanks!
SummerBeach + 1 谢谢@Thanks!
恋尘 + 1 + 1 我很赞同!
LZF688 + 1 谢谢@Thanks!
余弦 + 1 + 1 谢谢@Thanks!
wangyou918918 + 1 + 1 谢谢@Thanks!
MrSoujer + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

龍龖龘 发表于 2022-8-19 22:09
https://support.qq.com/products/402201/faqs-more?id=125545     即刻 团队的声明,读下来意思就是,不管我的事,之前开发人员做的,emmm,搞笑
ql_zth 发表于 2022-8-19 16:17
互联网监管任重道远啊, 发现了但是就是不能把他如何
zhouzhou1314 发表于 2022-8-22 17:14
Core.LC 发表于 2022-8-19 16:09
谢谢火绒分享安全知识
kabin 发表于 2022-8-19 18:42
用adeobe reader行不行?
lyx1104 发表于 2022-8-19 18:24
大佬,我想请问一下,CF的外挂到底是有毒没毒?为啥我开360就打不开外挂,必须关掉360.
换到火绒,都不会提示病毒的,进游戏外挂也打开了,相当于没拦截。
我很困惑。
montella 发表于 2022-8-19 16:10
谢谢up,谢谢火绒,想即刻pdf这些这些崽真是吃人够够
秋风君 发表于 2022-8-19 16:03
谢谢火绒分享安全知识
三岁就会写BUG 发表于 2022-8-19 16:11
像火绒安全学习!膜拜大佬
木人头 发表于 2022-8-19 16:19
玩了一款传世私服,游戏玩的总是喜欢蓝屏,后来很多玩家说装了火绒之后就不会蓝屏,要把360卸载了换火绒,我win10系统试了可以,但是win11系统不行。还是蓝屏而且还是无限蓝屏
li668800 发表于 2022-8-19 16:20
受教了 谢谢大佬的分享
gggzzz 发表于 2022-8-19 16:40
学习了,谢谢!
ifDo7 发表于 2022-8-19 16:48
吃相真难看
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 03:57

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表