楠木軒

用户請注意!騰訊“企鵝FM”軟件官方下載鏈接攜帶病毒

由 仝海燕 發佈於 科技

近日,有用户反饋下載騰訊旗下軟件“企鵝FM無障礙(PC版)”時被火絨報毒,火絨工程師緊急查看後發現,該軟件確實攜帶惡意代碼,並非火絨誤報,我們也緊急聯繫騰訊官方告知此事,並提供相關分析供排查威脅,火絨後續也會發布針對該病毒的詳細分析。此外,我們建議廣大用户暫時不要下載或使用該軟件,等待官方公佈解決方案,避免遭遇信息泄漏等安全風險。

根據火絨工程師分析發現,通過“企鵝FM”官網下載“無障礙”版本時,即會感染該病毒。另外,我們還溯源到下載頁面的域名所屬企業目前為註銷狀態,因此不排除該服務器遭入侵的可能性。

附【簡要分析】

企鵝FM(fm.qq.com)軟件官網中“下載無障礙版”點擊後會跳轉到鏈接:hxxps://qzs.qzone.qq.com/qzone/qzact/act/external/fm_static/fm_pc/index.html,在該頁面中再次點擊“下載無障礙版”後會下載病毒文件。相關頁面情況與頁面代碼,如下圖所示:

企鵝FM官網頁面

點擊“下載無障礙版“後跳轉到的頁面

病毒運行後進程樹信息,如下圖所示:

病毒運行後會在本地釋放更多病毒文件執行,並禁用Windows Defender。病毒相關代碼,如下圖所示:

病毒代碼

病毒相關數據,如下圖所示:

病毒數據