360的工程师们能否分析下最近几年肆虐的 Steam 假入库 irm 木马?
本帖最后由 瞿小凯 于 2025-5-1 23:19 编辑各位 360 团队的工程师,最近几年的这款 irm 指令的木马在最初仅具有盗窃 Steam 账号的行为,然而在今年被大家分析时发现具有远控行为。这款木马在执行链中使用了一个叫作 “hid.dll”的动态链接库(是被病毒作者假冒的,用于实施 dll 劫持)。
这个冒牌货的 dll 被作者添加了一个国产壳子,导致逆向在这一步无法继续下去。希望 360 团队的各位大佬可以露一手,看看这个 hid.dll 的真面目,看看它到底对受害者到底电脑做了什么事情。
至于这个木马的样本,各位只要在搜索引擎搜索 “irm steam.work|iex”即可获取相关信息。目前,在网络上已有多篇针对这个木马的分析,但均因 hid.dll 的壳子无法脱掉而寸步难行。
本帖最后由 瞿小凯 于 2025-5-1 23:22 编辑
最近我们确实接到过一些steam样本的反馈(在这里也感谢之前论坛热心用户的跟踪反馈),也发布过类似的安全报告https://bbs.360.cn/thread-16157350-1-1.html。如果你这里有相关可疑样本,都可以发给我们,我们节后分析看下。
对了,我这里大概搜索了一下,你提到的是在这些网站看到的相关样本对吗,我节后核实下
页:
[1]