某画图软件遭遇供应链攻击 感染型病毒被打包进软件包

2019-04-09 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯安全御见威胁情报中心检测到,有多个“CAXA数码大方”组件均在被ramnit家族感染型病毒感染之后签署上了官方有效的数字签名。从我们截获的样本中来看,被感染的CaxaWeb.exe与DrawLib.dll文件名可能属于该公司图表类软件模块。

腾讯安全御见威胁情报中心检测到,有多个“CAXA数码大方”组件均在被ramnit家族感染型病毒感染之后签署上了官方有效的数字签名。从我们截获的样本中来看,被感染的CaxaWeb.exeDrawLib.dll文件名可能属于该公司图表类软件模块。

某个被感染组件的节区表,如下图所示:

被感染的节区表

该组件具有正常的数字签名信息以及与官方包发布的一致的证书指纹,如下图所示:

客户端数字签名信息

ramnit家族感染型病毒最早是在20104月被发现的,通过感染dllexehtmlhtm格式的文件进而实现常驻系统,其主要目的是用于窃取用户信息。从我们截获的样本中来看,样本被感染的ramnit病毒在2016年就已经被发现,但是由于被感染的组件均具有有效数字签名,因此可能会被某些杀软信任放过。

针对软件供应链环节的病毒攻击越来越值得关注,一部分软件在官方发行渠道上线时,已经内置病毒,这会对用户构成极大威胁——用户天然相信商业公司正常发行的软件是正常的,往往会忽略安全软件的警告,腾讯电脑管家可成功清除该病毒。

电脑管家查杀截图

IOCs:

MD5

9c04b8554775a2a91de04bce70366245

beb087f7f6feacb30bead9dbdc266822

384282d6ce9bc8e8a39a8c6467a3c660

5c8ab43eaca5a5f70f00b36b5b960bef

电脑管家V13

权限雷达全新升级

详情>>

版本更新:2018.11.12