谨防数据泄露！“即刻PDF阅读器”内置后门收集用户隐私

VSole2022-08-19 17:39:56

近期，火绒安全团队发现“即刻PDF阅读器”内置后门程序，该后门程序会在用户不知情的情况下，从C&C服务器上下载恶意配置文件，再根据配置文件下载恶意模块到用户电脑中。目前发现该病毒会肆意收集用户个人隐私信息，如：QQ号、淘宝昵称、电商购物记录、电商和搜索引擎搜索记录等隐私数据。

通过对其代码和功能进行对比、溯源发现，该病毒和2020年就被火绒安全曝光的“起点PDF阅读器”、“新速压缩”等软件存在同源性，并且其同源样本已经多次被火绒发现并查杀。

病毒查杀图

该病毒作者通过开发类似上述软件并内置后门程序来收集用户个人隐私数据已长达数年。通过“即刻PDF阅读器”安装包的数字签名，可以得知该软件由深圳市重诚远顺科技有限公司开发，相关信息如下图所示：

即刻PDF阅读器安装包数字签名

经企业信息检索核实，可确认“即刻PDF阅读器”为该公司所开发软件，相关备案和软件著作权信息如下图所示：

其网站备案、软件著作权信息

样本分析

该病毒具有极高的隐蔽性：向C&C服务器请求恶意模块时，C&C服务器会根据用户的地理位置等信息进行下发配置，让安全人员取证过程变得困难。火绒工程师帮助用户处理该病毒问题时，发现该病毒还会通过注册表回调来禁止软件的驱动加载。在即刻PDF阅读器目录下，还发现多个被加密的恶意模块，在此次取证过程中，只获取到收集个人隐私信息相关的恶意模块，不排除其后续下发更多恶意模块的可能性。即刻PDF软件目录下大部分可执行文件都携带恶意功能如：JiKeSteor.exe、JiKeHcores.exe、JiKeIterh.exe、JikeMrong.exe等可执行文件，以下分析以JikeSteor.exe为例，病毒执行流程图如下所示：

病毒执行流程图

JiKeSteor.exe恶意模块会根据云控配置信息来下载任意恶意模块。恶意模块通过多层解密、加载的方式来躲避杀毒软件的查杀，还会检测用户电脑上的安全软件，相关代码，如下图所示：

检测安全软件

被检测的安全软件列表，如下图所示：

被检测的安全软件

向服务器请求配置文件，相关代码，如下图所示：

下载配置文件

解密后的文件内容，如下图所示：

解密后的文件内容

根据配置文件的内容下载、加载恶意模块b024b1ac2de.dll，相关代码，如下图所示：

下载、加载恶意模块

b024b1ac2de.dll被加载之后，会从资源中解密恶意模块a74746.dll，相关代码，如下图所示：

加载资源中的a74746.dll模块

在a74746.dll模块中会收集用户的各种隐私数据如：谷歌、百度、淘宝、京东、天猫等网站的搜索内容、系统进程信息、当前活跃的窗口标题等隐私数据。收集用户系统的进程信息，相关代码，如下图所示：

获取当前进程信息

将进程相关信息上传至C&C服务器，相关代码，如下图所示：

上传用户进程信息

收集当前活动窗口标题并上传至C&C服务器，相关代码，如下图所示：

获取当前活动窗口标题并上传至C&C服务器

从各个浏览器的历史记录数据库中获取谷歌、百度、淘宝、京东、天猫等搜索内容信息，以360安全浏览器为例，定位浏览器数据库文件，相关代码，如下图所示：

定位数据库文件

使用SQL语句在数据库文件中搜索历史信息，相关代码，如下图所示：

搜索的信息

SQL语句搜索指定记录

将收集到的信息，上传至C&C服务器，相关代码，如下图所示：

上传浏览器历史记录数据

涉及到的相关浏览器列表，如下图所示：

涉及浏览器列表

a74746.dll恶意模块还会请求新的配置文件来带参数运行JikeIterh.exe模块来下载、解密执行新的恶意模块WindowPop.dll，相关代码，如下图所示：

解密执行新的恶意模块WindowPop.dll

在WindowPop.dll恶意模块中会获取各个浏览器的数据库文件，从中获取用户淘宝昵称；淘宝、天猫商店中浏览过物品ID等隐私信息后并通知C&C服务器，相关代码，如下图所示：

获取淘宝相关信息，并通知C&C服务器

从浏览器的历史记录数据库文件中获取用户浏览过商品ID，相关代码，如下图所示：

从浏览器history数据库文件中获取用户浏览过商品ID

WindowPop.dll恶意模块会根据一些游戏（英雄联盟、地下城与勇士、穿越火线、天涯明月刀）的配置文件找到用户的QQ账号并通知C&C服务器，以英雄联盟为例，相关代码，如下图所示：

收集QQ账号并通知C&C服务器

WindowPop.dll恶意模块会在后台静默安装爱奇艺、酷狗、酷我等软件，以酷我为例，相关代码，如下图所示：

后台静默安装软件

在WindowPop.dll恶意模块中还会定期弹出广告窗口，相关代码，如下图所示：

弹出广告窗口

同源性分析

加载远程恶意模块代码同源性对比，如下图所示：

同源性对比

C&C服务器下发的配置文件对比，如下图所示：

配置文件对比

附录

C&C服务器：

病毒HASH：

隐私泄露pdf阅读器

本作品采用《CC 协议》，转载必须注明作者和本文链接

谨防数据泄露！“即刻PDF阅读器”内置后门收集用户隐私

2022-08-19 17:39:56

近期，火绒安全团队发现“即刻PDF阅读器”内置后门程序，该后门程序会在用户不知情的情况下，从C&C服务器上下载恶意配置文件，再根据配置文件下载恶意模块到用户电脑中。通过对其代码和功能进行对比、溯源发现，该病毒和2020年就被火绒安全曝光的“起点PDF阅读器”、“新速压缩”等软件存在同源性，并且其同源样本已经多次被火绒发现并查杀。病毒查杀图该病毒作者通过开发类似上述软件并内置后门程序来收集用户个人隐私数据已长达数年。

【漏洞预警】CNNVD 关于福昕阅读器多个安全漏洞的通报

2018-08-14 22:33:16

近日，福昕阅读器官方网站发布安全漏洞公告，涉及Foxit Reader exportAsFDF远程代码执行漏洞、Foxit Reader 缓冲区错误漏洞等83个安全漏洞。其中高危漏洞2个，中危漏洞77个，低危漏洞4个。福昕阅读器Foxit Reader 9.1.0.5096及之前的版本均受上述漏洞影响。上述漏洞可能导致在目标系统上执行任意代码、写入任意文件、泄露敏感信息等。目前，福昕阅读器官方已经

Printjack打印机攻击

2021-12-03 08:58:17

研究人员发现过度信任打印机会引发DDoS攻击、隐私泄露等威胁。意大利研究人员在最新研究成果中指出，当前打印机存在一些基本漏洞，且在网络安全和数据隐私合规方面落后于其他IoT和电子设备。通过评估网络安全风险和隐私威胁，研究人员发现针对打印机可以发起一系列攻击——Printjack，包括将打印机纳入DDoS网络、执行隐私泄露攻击等。

ACM TDS'22：深度学习中基于扰动的梯度下降优化方法

2022-05-12 08:45:21

针对深度学习中梯度下降训练效果不佳和隐私保护效果不明显的问题，我们提出基于扰动的迭代梯度下降优化算法，将梯度下降算法作为迭代分量，然后将噪声注入到迭代梯度下降优化过程中以计算梯度，最后对梯度进行扰动来实现差分隐私。

智能设备可以被劫持来远程跟踪你的身体运动和活动

2022-09-09 19:00:00

配音封面这次袭击是由华盛顿大学Paul G. Allen计算机科学学院的四名研究人员开发的。这些声波随后会从人和物体上反弹，并被麦克风接收。由于爱丽丝不能使用专用的监视硬件进入该国，她只需使用CovertBand攻击就可以通过墙壁对受试者进行2D跟踪，“她可以在手机上运行，这样可以避免引起鲍勃的怀疑。”

中国信通院发布《全球数字治理白皮书（2023年）》

2024-01-05 09:35:52

中国信通院发布《全球数字治理白皮书（2023年）》

中国信通院发布《互联网域名产业报告（2021年）》（附下载方式）

2021-07-21 16:06:16

2021年7月20日下午，中国信通院互联网治理研究中心发布了《互联网域名产业报告（2021年）》（以下简称“报告”），互联网治理研究中心资深研究员、政策与经济研究所嵇叶楠代表课题组做了报告深度解读，内容涵盖2020年以来全球和我国域名管理体系、政策和服务特点，国际国内域名解析设施建设和应用情况等多个方面，并提供未来发展展望。

密码在高校数字化安全中的技术应用

2023-01-03 11:23:02

口令只是一种验证机制，并不具备密码的机密性要求。在电子票据开具过程中，开票单位需通过安全可信的方式向财政部提交开票信息。

德克萨斯州学校安全软件数据泄露危及学生安全

2024-01-13 14:58:46

德克萨斯州学校安全软件提供商Raptor Technologies的数据泄露事件暴露了数百万条有关学生、家长和教职员工的敏感记录。

Delta Dental在与MOVEit相关的攻击中遭受700万用户数据泄露

2023-12-16 11:18:05

根据数据泄露通知，位于美国伊利诺伊州奥克布鲁克的牙科保险提供商Delta Dental遭到了利用精心策划的零日漏洞复杂网络攻击MOVEit Transfer中的一天缺陷。

VSole

网络安全专家