近日,有用户反饋下載騰訊旗下軟件“企鵝FM無障礙(PC版)”時被火絨報毒,火絨工程師緊急查看後發現,該軟件確實攜帶惡意代碼,並非火絨誤報,我們也緊急聯繫騰訊官方告知此事,並提供相關分析供排查威脅,火絨後續也會發布針對該病毒的詳細分析。此外,我們建議廣大用户暫時不要下載或使用該軟件,等待官方公佈解決方案,避免遭遇信息泄漏等安全風險。
根據火絨工程師分析發現,通過“企鵝FM”官網下載“無障礙”版本時,即會感染該病毒。另外,我們還溯源到下載頁面的域名所屬企業目前為註銷狀態,因此不排除該服務器遭入侵的可能性。
附【簡要分析】
企鵝FM(fm.qq.com)軟件官網中“下載無障礙版”點擊後會跳轉到鏈接:hxxps://qzs.qzone.qq.com/qzone/qzact/act/external/fm_static/fm_pc/index.html,在該頁面中再次點擊“下載無障礙版”後會下載病毒文件。相關頁面情況與頁面代碼,如下圖所示:
企鵝FM官網頁面
點擊“下載無障礙版“後跳轉到的頁面
病毒運行後進程樹信息,如下圖所示:
病毒運行後會在本地釋放更多病毒文件執行,並禁用Windows Defender。病毒相關代碼,如下圖所示:
病毒代碼
病毒相關數據,如下圖所示:
病毒數據