谨防数据泄露!“即刻PDF阅读器”内置后门收集用户隐私

news2024/12/27 2:31:30

近期,火绒安全团队发现 “即刻PDF阅读器”
内置后门程序,该后门程序会在用户不知情的情况下,从C&C服务器上下载恶意配置文件,再根据配置文件下载恶意模块到用户电脑中。目前发现该病毒会肆意收集用户个人隐私信息,如:QQ号、淘宝昵称、电商购物记录、电商和搜索引擎搜索记录等隐私数据。

通过对其代码和功能进行对比、溯源发现,该病毒和2020年就被火绒安全曝光的 “起点PDF阅读器”“新速压缩”
等软件存在同源性(详见《多款软件内置后门程序
可监视并肆意操控用户电脑》https://www.huorong.cn/info/1592489908487.html),并且其同源样本已经多次被火绒发现并查杀。

病毒查杀图

该病毒作者通过开发类似上述软件并内置后门程序来收集用户个人隐私数据已长达数年。通过 “即刻PDF阅读器” 安装包的数字签名,可以得知该软件由
深圳市重诚远顺科技有限公司 开发,相关信息如下图所示:

即刻PDF阅读器安装包数字签名

经企业信息检索核实,可确认 “即刻PDF阅读器” 为该公司所开发软件,相关备案和软件著作权信息如下图所示:

其网站备案、软件著作权信息

该病毒具有极高的隐蔽性:向C&C服务器请求恶意模块时,C&C服务器会根据用户的地理位置等信息进行下发配置,让安全人员取证过程变得困难。火绒工程师帮助用户处理该病毒问题时,发现该病毒还会通过注册表回调来禁止软件的驱动加载。在即刻PDF阅读器目录下,还发现多个被加密的恶意模块,在此次取证过程中,只获取到收集个人隐私信息相关的恶意模块,不排除其后续下发更多恶意模块的可能性。即刻PDF软件目录下大部分可执行文件都携带恶意功能如:
JiKeSteor.exe、JiKeHcores.exe、JiKeIterh.exe、JikeMrong.exe等可执行文件,以下分析以JikeSteor.exe为例,病毒执行流程图如下所示:

病毒执行流程图

样本分析

JiKeSteor.exe恶意模块会根据云控配置信息来下载任意恶意模块。恶意模块通过多层解密、加载的方式来躲避杀毒软件的查杀,还会检测用户电脑上的安全软件,相关代码,如下图所示:

检测安全软件

被检测的安全软件列表,如下图所示:

被检测的安全软件

向服务器请求配置文件,相关代码,如下图所示:

下载配置文件

解密后的文件内容,如下图所示:

解密后的文件内容

根据配置文件的内容下载、加载恶意模块b024b1ac2de.dll,相关代码,如下图所示:

下载、加载恶意模块

b024b1ac2de.dll被加载之后,会从资源中解密恶意模块a74746.dll,相关代码,如下图所示:

加载资源中的a74746.dll模块

在a74746.dll模块中会收集用户的各种隐私数据如:谷歌、百度、淘宝、京东、天猫等网站的搜索内容、系统进程信息、当前活跃的窗口标题等隐私数据。收集用户系统的进程信息,相关代码,如下图所示:

获取当前进程信息

将进程相关信息上传至C&C服务器,相关代码,如下图所示:

上传用户进程信息

收集当前活动窗口标题并上传至C&C服务器,相关代码,如下图所示:

获取当前活动窗口标题并上传至C&C服务器

从各个浏览器的历史记录数据库中获取谷歌、百度、淘宝、京东、天猫等搜索内容信息,以360安全浏览器为例,定位浏览器数据库文件,相关代码,如下图所示:

定位数据库文件

使用SQL语句在数据库文件中搜索历史信息,相关代码,如下图所示:

搜索的信息

SQL语句搜索指定记录

将收集到的信息,上传至C&C服务器,相关代码,如下图所示:

上传浏览器历史记录数据

涉及到的相关浏览器列表,如下图所示:

涉及浏览器列表

a74746.dll恶意模块还会请求新的配置文件来带参数运行
JikeIterh.exe模块来下载、解密执行新的恶意模块WindowPop.dll,相关代码,如下图所示:

解密执行新的恶意模块WindowPop.dll

在WindowPop.dll恶意模块中会获取各个浏览器的数据库文件,从中获取用户淘宝昵称;淘宝、天猫商店中浏览过物品ID等隐私信息后并通知C&C服务器,相关代码,如下图所示:

获取淘宝相关信息,并通知C&C服务器

从浏览器的历史记录数据库文件中获取用户浏览过商品ID,相关代码,如下图所示:

从浏览器history数据库文件中获取用户浏览过商品ID

WindowPop.dll恶意模块会根据一些游戏(英雄联盟、地下城与勇士、穿越火线、天涯明月刀)的配置文件找到用户的QQ账号并通知C&C服务器,以英雄联盟为例,相关代码,如下图所示:

收集QQ账号并通知C&C服务器

WindowPop.dll恶意模块会在后台静默安装爱奇艺、酷狗、酷我等软件,以酷我为例,相关代码,如下图所示:

后台静默安装软件

在WindowPop.dll恶意模块中还会定期弹出广告窗口,相关代码,如下图所示:

弹出广告窗口

同源性分析

加载远程恶意模块代码同源性对比,如下图所示:

同源性对比

C&C服务器下发的配置文件对比,如下图所示:

配置文件对比

附录

C&C服务器:

病毒HASH:

最后

分享一个快速学习【网络安全】的方法,「也许是」最全面的学习方法:
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

在这里插入图片描述

恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k。

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

想要入坑黑客&网络安全的朋友,给大家准备了一份:282G全网最全的网络安全资料包免费领取!
扫下方二维码,免费领取

有了这些基础,如果你要深入学习,可以参考下方这个超详细学习路线图,按照这个路线学习,完全够支撑你成为一名优秀的中高级网络安全工程师:

高清学习路线图或XMIND文件(点击下载原文件)

还有一些学习中收集的视频、文档资源,有需要的可以自取:
每个成长路线对应板块的配套视频:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,需要的可以【扫下方二维码免费领取】

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/820719.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

决策树的划分依据之:信息增益率

在上面的介绍中,我们有意忽略了"编号"这一列.若把"编号"也作为一个候选划分属性,则根据信息增益公式可计算出它的信息增益为 0.9182,远大于其他候选划分属性。 计算每个属性的信息熵过程中,我们发现,该属性的值为0, 也就…

学习记录——CFNet

CFNet: Cascade Fusion Network for Dense Prediction 一种新颖的多尺度融合方法 CVPR 2023   现有的SOTA方法通常先通过主干网络提取多尺度特征,然后通过轻量级模块(如 FPN)融合这些特征。然而,我们认为通过这样的范例来融合多…

常见的用户行为路径分析方法

用户行为路径分析,一方面可视化用户流向,对海量用户的行为习惯形成宏观了解;另一方面是定位影响转化的主要因素,使产品的优化与改进有的放矢。如果没有用户行为路径分析,会让我们不能获得用户的及时反馈信息&#xff0…

使用HBuilder-X创建uniapp项目并启动演示

前言 课前准备:需要安装有HBuilder-X软件以及谷歌、火狐等浏览器。 官方网址:https://www.dcloud.io/ 一、创建项目 依次点击文件->新建->项目: 接着: 点击uni-app填写项目名称选择项目路径选择项目模版,我…

Java里的static import使用小结

Java里的static import使用小结 换了工作要把Java重新捡起来了,这个在大学里用过的语言,虽然不复杂,还是有一些奇怪的地方的。比如static Slgluimport。 Static import是JDK 1.5中引进的特性,不过读大学那会还真没注意到。它的作…

记一次使用gophish开展的钓鱼演练

这周接到客户要求,组织一次钓鱼演练,要求是发送钓鱼邮件钓取用户账号及个人信息。用户提交后,跳转至警告界面,以此来提高客户单位针对钓鱼邮件的防范意识。 与客户沟通后得知他们企业内部是由邮箱网关的,那么就意味着…

类的实例化

类的实例化 class Date { public:void Init(int year, int month, int day){_year year;_month month;_day day;}private:int _year;int _month;int _day; //这只是函数的一个声明并没有定义 };上面是一个类,我们可以把有花括号括起来的叫做一个域&#xff…

python scrapy框架实现某品牌数据采集

某品牌数据采集 采集需求 地址:http://www.winshangdata.com/brandList 需求:用scrapy框架采集本站数据,至少抓取5个分类,数据量要求5000以上 采集字段:标题、创建时间、开店方式、合作期限、面积要求 网页分析 …

HawkEye设备智能维保平台:助力制药行业设备管理实现数字化转型

随着科技的不断进步和市场竞争的日益激烈,制药行业的设备管理的数字化转型已经成为一个不可逆转的趋势。尤其是在疫情时代,制药企业肩负着重大的社会责任,致使其设备管理的数字化转型之路迫在眉睫。 设备管理的数字化不仅可以提高企业的生产效…

Java实战之网上书店管理系统的实现

目录 1.效果展示2.需求功能3.系统总体设计及部分代码 3.1登录模块设计3.2新用户的注册3.3图书添加模块3.4图书添加事件3.5买家信息维护3.6订单管理模块4.数据库设计 4.1系统数据库设计4.2系统E-R图设计5.JDBC连接数据库 1.效果展示 2.需求功能 用户可以进行注册登陆系统&…

文心大模型企业应用私享会·上海站:共话大模型前沿技术与产业应用创新

当前,人工智能已经成为新一轮科技革命和产业变革的重要驱动力量,基于强算法、大算力和大数据的大模型成为人工智能发展的主流方向。 7月28日下午,“文心大模型企业应用私享会-上海站”于百度飞桨(张江)人工智能产业赋能…

如何压缩图片大小?最新图片压缩技巧分享

现在很多平台对于上传的图片大小都有限制,比如不能超过20k,当图片大小超出该值时就需要进行压缩,下面就针对这个问题给大家分享几个简单实用的图片压缩方法,需要的朋友一起来Get吧~ 一、画图工具 画图是Windows系统自带的工具&am…

BugKu CTF(杂项篇MISC)—善用工具

BugKu CTF(杂项篇MISC)—善用工具 描 述: webp。 下载压缩包。解压得到以后3个文件。 一、工具 十六进制编辑工具 010 editor Free_File_Camouflage图片隐写工具 二、解题思路 1.先看看hint.png,发现打不开,用010 editor编辑器打开是乱码。属性也没…

ipad手写笔有必要买苹果原装吗?平价电容笔推荐

目前,市场上的电容笔品牌越来越多,我们在挑选的时候,很容易就会被坑,比如说,我们买到的那些书写时经常会写字断触,或是防误触功能失效。因此我们在购买时一定要擦亮眼睛。至于那些把ipad当成学习工具的人&a…

展销系统springboot vue展会新闻场地管理java源代码mysql

本项目为前几天收费帮学妹做的一个项目,Java EE JSP项目,在工作环境中基本使用不到,但是很多学校把这个当作编程入门的项目来做,故分享出本项目供初学者参考。 一、项目描述 展销系统springboot vue 系统有3权限:管理…

【Java练习题汇总】《第一行代码JAVA》综合测试三,汇总Java练习题

Java练习题 综合测试三 1️⃣ 综合测试三 1️⃣ 综合测试三 线程的启动方法是( )。 A. run() B. start() C. begin() D. accept() Thread 类提供表示线程优先级的静态常量,代表普通优先级的静态常量是( )。 A. MAX_PRIORITY B. MIN_PRIORITY C. NORMAL_PRIORITY D…

亚马逊怎么样下单风控最低

在下单过程中,亚马逊会使用风控措施以保护用户和平台的安全。这些风控措施可能会随着时间和情况的变化而调整,因此最低风控标准也可能会随之改变。 要确保顺利下单,你可以尝试遵循以下几点建议: 1、使用真实有效的个人信息&#…

限流式保护器在古建筑电气火灾中的应用

安科瑞 华楠 【摘要】针对文物古建筑本身火灾危险性大,并且其内部电气问题较多,增加了火灾危险性的特点,提出了预防电气火灾的措施。 【关键词】古建筑;电气防火;限流式保护器; 文物古建筑是中华民族历史文…

Spring的@Scheduled

Spring的Scheduled的默认线程池数量为1,也就是说定时任务是单线程执行的。这意味着最多同时只有一个任务在执行。当一个任务还在执行时,其他任务会等待其完成,然后按照其预定的执行策略依次执行。 测试代码: 启动类上加注解Enab…

ffmpeg + nginx 实现rtsp视频流转m3u8视频流,转码推流(linux)

FFmpeg即是一款音视频编解码工具,同时也是一组音视频编码开发套件,作为编码开发套件,它为开发者提供了丰富的音视频处理的调用接口。 FFmpeg提供了多种媒体格式的封装和解封装,包括多种音视频编码、多种协议的流媒体、多种多彩格式…