用户请注意!腾讯“企鹅FM”软件官方下载链接携带病毒

近日,有用户反馈下载腾讯旗下软件“企鹅FM无障碍(PC版)”时被火绒报毒,火绒工程师紧急查看后发现,该软件确实携带恶意代码,并非火绒误报,我们也紧急联系腾讯官方告知此事,并提供相关分析供排查威胁,火绒后续也会发布针对该病毒的详细分析。此外,我们建议广大用户暂时不要下载或使用该软件,等待官方公布解决方案,避免遭遇信息泄漏等安全风险。

90869-qmv38vmopn.png

根据火绒工程师分析发现,通过“企鹅FM”官网下载“无障碍”版本时,即会感染该病毒。另外,我们还溯源到下载页面的域名所属企业目前为注销状态,因此不排除该服务器遭入侵的可能性。

附【简要分析】
企鹅FM(fm.qq.com)软件官网中“下载无障碍版”点击后会跳转到链接:hxxps://qzs.qzone.qq.com/qzone/qzact/act/external/fm_static/fm_pc/index.html,在该页面中再次点击“下载无障碍版”后会下载病毒文件。相关页面情况与页面代码,如下图所示:
13157-2yusbf0d7kv.png

企鹅FM官网页面
98991-uo72ds6o8cm.png

点击“下载无障碍版“后跳转到的页面

病毒运行后进程树信息,如下图所示:
54521-kbpkbaw8jep.png

病毒运行后会在本地释放更多病毒文件执行,并禁用Windows Defender。病毒相关代码,如下图所示:
82279-qjqz07w6b8f.png

病毒代码

病毒相关数据,如下图所示:
52553-csaygpm78zs.png

病毒数据
文章来源:火绒安全实验室

本文经授权后发布,本文观点不代表立场,转载请联系原作者。
CVE-2020-1350: Windows DNS Server蠕虫级远程代码执行漏洞分析
« 上一篇 07-17
伊朗顶级国家黑客组织【自拍的真实】攻击视频被曝光了!
下一篇 » 07-17

相关推荐

基于社工的钓鱼研究

声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的...