火融安全警报：方正集团子公司签名疑似遭黑客泄露 涉嫌窃取Steam账号警报安全教育宣传片

一、概述

日前，火融安全团队发出警报，火融工程师拦截了下载器病毒Apametheus，该病毒入侵电脑后会下载多个病毒模块，病毒模块运行后会窃取Steam账号并劫持用户QQ临时登录权限，强行添加QQ好友、转发空间，传播违法信息。

经技术追溯，发现该病毒带有“北京方正阿帕比科技有限公司”（北大方正子公司）的数字签名：“北京方正阿帕比科技有限公司”，以躲避安全软件的拦截和检测。怀疑该签名泄露被黑客团伙利用，建议公司尽快调查。

最新版本的“火绒产品（个人版、企业版）”可以对该病毒进行检测和查杀。

2. 样本分析

近日，火融网截获一份带有北大方正集团有限公司子公司“北京方正阿帕比科技有限公司”（北京方正阿帕比科技有限公司）签名的病毒文件，且该病毒数字签名可验证。如下图所示：

病毒数字签名

病毒数字签名

病毒数字签名

病毒运行后会访问C&C服务器下载下载器病毒（Linking.exe和calc.exe）在本地执行，运行后启动svchost.exe进程进行注入，注入的svchost.exe进程会执行不同的恶意代码逻辑，恶意代码逻辑包括：窃取steam账号、利用本地会话劫持强行添加QQ好友、转发QQ空间日志等。病毒执行恶意行为后的进程树状态如下图所示：

病毒执行后的进程树

窃取 Steam 账户

病毒会不断搜索Steam登录窗口，一旦找到Steam登录窗口，就会释放cuic.dll，并将动态库注入steam.exe进程中，相关代码逻辑如下图所示：

注入 steam.exe

注入的恶意代码（cuic.dll）会先循环检查SteamUI.dll是否加载成功，若加载成功则通过获取控制数据来获取用户登录信息。如下图所示：

SteamUI.dll的循环检测

对比控件名称相关代码，如下图：

比较 Steam_GetTwoFactorCode_EnterCode 控件名称

恶意代码相关数据，如下图所示：

恶意代码相关数据

强制QQ好友升级

该部分病毒代码执行后会通过本地QQ快捷登录信息获取临时登录凭证劫持会话，然后强行使用用户的QQ添加指定QQ好友及强行转发QQ空间日志，相关代码如下图所示：

强制添加QQ好友

强制转发QQ空间日志相关代码，如下图：

强制转发QQ空间日志

3. 附录

示例 SHA256：