steam盗号病毒7月20日更新，各杀毒软件都不报毒了

还是和之前几次一样，启动游戏同时运行病毒。


文叔叔链接：c.wss.pet/f/hjhrj6r38cr
压缩包密码：三次郎

病毒启动程序，以及藏盗号模块的library.zip藏在ReadMe/Manual文件夹

这次也请记得处理library.zip里的盗号模块文件(应该是那个_main_3.pyc吧)，别像之前那样纯粹拉黑整个library.zip了

您好，同步下结论，这是个加载python脚本的加载器，病毒应该是脚本本身，和加载器没有关系，所以这个加载器我们是不能直接给删除掉的，和之前的类似，现在需要的是脚本本身

小A也不报毒

您好，我们提交下分析，后续您可以直接在我们开放平台提交一下：https://open.soft.360.cn/report.php

您好，

分析了一下，确认在附件中发现了新的恶意软件。

此次发现的恶意软件变种相较于国内安全厂商的历史分析报告而言更加升级了。


具体如下：
1. 启动器
在小红车病毒7.21.rar => lib\library.zip => __main__launcher.pyc文件中，发现如下图所示代码：



其中，在main()函数中的代码充当了下文中恶意软件启动器的作用:

1.     #获取当前工作目录路径

复制代码

2. Steam密钥窃取器

在小红车病毒7.21.rar => ReadMe\Manual\lib\library.zip => __main__3.pyc文件中，发现Steam密钥Stealer，其会尝试包括寻找Steam.exe进程、获取Steam安装目录、解密并上传Steam Token、解密并上传Steam内存令牌等，相关恶意代码如下图所示：









其中，可以看到，样本首先通过检测360Safe.exe 360Tray.exe 360sd.exe 360rp.exe QHActiveDefense.exe是否存在，若不存在则添加自启动，否则添加自启动，相关代码如下图所示：



该pyc将由\ReadMe\Manual\ManualsUpdateService.exe程序加载并执行。

经过研判，目前可以确认为《“赛博花柳”借Wallpaper Engine入侵——剖析Steam盗号产业链》(https://mp.weixin.qq.com/s/_2qOSmJv0BkW_WJTaOolwg)一文中的恶意软件的当前最新变种。


SHA-256

1. "小红车病毒7.21.rar": 93cca19ac35a6ddc412c93a4c7939d9205a9fc6ec5ac511899cc81fc035b26c0

复制代码

代码框贴上来有问题，一编辑又要重新进审核队列，审核效率跟个啥一样，烦。。

第一处code标签中的内容:
    #获取当前工作目录路径
    current_dir = get_base_dir()
    #在当前工作目录路径后拼接"\ReadMe\Manual"
    prog1_dir = os.path.join(current_dir, 'ReadMe', 'Manual')
    #启动"\ReadMe\Manual\ManualsUpdateService.exe"程序
    #启动恶意软件
    run_program('ManualsUpdateService.exe', prog1_dir, True)
    #在当前工作目录路径后拼接"\etc\mono"
    prog2_dir = os.path.join(current_dir, 'etc', 'mono')
    #启动"\etc\mono\Doujin Fever!! Affection!.exe"
    #启动正常游戏
    run_program('Doujin Fever!! Affection!.exe', prog2_dir, False)

第二处code标签中的内容:
SHA-256
"小红车病毒7.21.rar": 93cca19ac35a6ddc412c93a4c7939d9205a9fc6ec5ac511899cc81fc035b26c0

"小红车病毒7.21.rar => lib\library.zip": 8d7aa9b96492afad3af96abd13292be77f547439366878067f427b2bb16ad56a
"小红车病毒7.21.rar => lib\library.zip => __main__launcher.pyc": fe305c4a386528719bcdecac9aadedb34ad05bb1bc7ea028fd41254a7d107e9f

"小红车病毒7.21.rar => ReadMe\Manual\lib\library.zip": e9997f5f74a997c19b9a110666022fa1d1c391db3f769030d3e98d4d1a506c0b
"小红车病毒7.21.rar => ReadMe\Manual\lib\library.zip => __main__3.pyc": 10e55e92629eae85869c1993eb373be0d669efe3436a05bcc1babbf1333eea87