【文章摘要】腾讯安全御见威胁情报中心检测到,有多个“CAXA数码大方”组件均在被ramnit家族感染型病毒感染之后签署上了官方有效的数字签名。从我们截获的样本中来看,被感染的CaxaWeb.exe与DrawLib.dll文件名可能属于该公司图表类软件模块。
腾讯安全御见威胁情报中心检测到,有多个“CAXA数码大方”组件均在被ramnit家族感染型病毒感染之后签署上了官方有效的数字签名。从我们截获的样本中来看,被感染的CaxaWeb.exe与DrawLib.dll文件名可能属于该公司图表类软件模块。
某个被感染组件的节区表,如下图所示:
被感染的节区表
该组件具有正常的数字签名信息以及与官方包发布的一致的证书指纹,如下图所示:
客户端数字签名信息
ramnit家族感染型病毒最早是在2010年4月被发现的,通过感染dll、exe、html、htm格式的文件进而实现常驻系统,其主要目的是用于窃取用户信息。从我们截获的样本中来看,样本被感染的ramnit病毒在2016年就已经被发现,但是由于被感染的组件均具有有效数字签名,因此可能会被某些杀软信任放过。
针对软件供应链环节的病毒攻击越来越值得关注,一部分软件在官方发行渠道上线时,已经内置病毒,这会对用户构成极大威胁——用户天然相信商业公司正常发行的软件是正常的,往往会忽略安全软件的警告,腾讯电脑管家可成功清除该病毒。
电脑管家查杀截图
IOCs:
MD5
9c04b8554775a2a91de04bce70366245
beb087f7f6feacb30bead9dbdc266822
384282d6ce9bc8e8a39a8c6467a3c660
5c8ab43eaca5a5f70f00b36b5b960bef
