一个在你打开色情 站时触发录屏并上传的恶意软件

色情 站，英文名pornsite，封面就是最好的阐释。

而近日，安全厂商ESET发布了一则分析 告指出，有一个恶意软件格外的智能，除了盗窃用户浏览器和邮箱密码外，还会有一个很奇葩的功能：

当受害者在线观看色情 站时，恶意软件会使用FFmpeg录制受害者的屏幕，并通过Tor将视频上传至攻击者的C＆C服务器。

以下为具体操作。

这种名为Varenyky的恶意软件(俄语，中文翻译为饺子)，于2019年5月初首次出现，并在6月通过垃圾邮件分发的恶意文档中作为Dropper进行投放。

而该恶意软件主要针对法国，因为宏代码会过滤非位处法国的目标。

代码使用函数Application.LanguageSettings.LanguageID（）来获取受害者计算机的语言ID。此ID包含用户设置的国家/地区和语言。

该脚本检查返回的值是十进制的1036（或十六进制的0x40C），并且根据Microsoft文档，该值对应法语。

旧版Varenyky变种使用UPX壳，但近期变种使用自定义壳，样本解压缩过程：

首先使用32个字符长的字符串对其Payload进行异或解密，然后使用LZNT1算法对其进行解压缩，LZNT1算法是LZ77的变体。

解压后的文件不落地，直接在内存运行。

如果尚未安装恶意软件，它将在％APPDATA％中创建一个具有特定名称的目录，名称为由机器的GUID，用户名，计算机名和CPU名组成的大写哈希值，紧接着会将需要运行的库文件和Tor程序直接放入目录。

并将自身写入启动项，释放互斥锁，从创建的目录中重新启动，并使用AWS的checkip.amazonaws.com服务执行Tor并获取其外部IP地址。

它将启动两个线程：一个负责发送垃圾邮件，另一个可以执行来自其C＆C服务器的命令，使用Tor通过HTTP协议进行C2通信，长长的.onion

jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd.onion

其中值得一提的是NirSoft的WebBrowserPassView和Mail PassView工具。这些是用于Web浏览器和电子邮件客户端密码的密码恢复工具，在恶意软件中经常用来盗取浏览器密码和邮箱密码，前几天刚见到一个，很好用就是了。

下载地址：https://www.nirsoft.net/utils/web_browser_password.html

紧接着，恶意软件会执行最精髓的操作。

一开始的版本是，它会监控用户打开的窗口，然后窗口标题如果显示了指定关键字则会将窗口标题发送到C&C服务器。

而现在，此功能更改为，只要遇到“sexe”一词时，恶意软件会使用之前通过Tor 络下载的FFmpeg录屏工具，并将视频录制后上传到C＆C服务器。

至于为什么要上传这些录屏后的视频，有一种说法是为了敲诈讹钱，也有的是说为了录屏卖片，或者是攻击者自己就想，反正都有可能。

更奇怪的是，这个恶意软件的不同版本会使用不同的字符串，发送到C＆C服务器中，从而标记自己。

奇葩的字符串如下，奇葩到我完全看不懂。

打开他的洋葱 站，奇葩之感扑面而来。

“饺子”恶意软件幕后的攻击者，经常会发送一些类似说我看见你看色情 站了，为了不曝光你你要给我比特币之类的钓鱼邮件，恐怕之后会结合录屏的视频进行敲诈，那样可能真的会有人给钱了。

所谓的性敲诈邮件

小声：至于为什么要指定sexe关键词，你可以在twitter输入看看，亲测

原文+IOC链接：

https://www.welivesecurity.com/2019/08/08/varenyky-spambot-campaigns-france/

近期阅读：

因为知识星球官方要8月20日开始扣税20%，因此到时候本星球必然会涨价到300.所以有需要看最新的 络安全情 和数据就赶紧进来吧，越早越好，欢迎光临

老板求录屏转发