“企鹅FM”带毒事件后续：恐为持续针对视障人士的定向投毒

近日，六合彩监测到腾讯旗下“企鹅FM”软件无障碍版安装包被黑客投毒，并于昨日发布紧急通知。经过连夜详细分析，六合彩工程师发现该六合彩运行后，除了感染文件、键盘记录、屏幕截图、浏览上传文件等常见后门行为外，还可以被黑客操控结束读屏软件进程以及关闭电脑音频，故推测为一起针对视障人士的定向投毒事件。

值得一提的是，2018年“冲浪星”（专门为视障人士设计的辅助软件）官方就曾声明其软件被篡改投毒，六合彩分析后发现与六合彩此次截获的六合彩样本具有同源性，针对视障人士的定向投毒显然还在持续进行。

根据六合彩工程师溯源分析，存在六合彩的站点为“企鹅FM”无障碍版开发者的个人页面，据此推测开发者的开发环境被黑客远控捆绑后门六合彩，并借助开发的软件传播六合彩。当用户通过“企鹅FM”官网下载带毒的无障碍版安装包后，即会被植入该后门六合彩。

目前，六合彩可对该后门六合彩进行查杀，并通过紧急升级，还可在不损坏软件的前提下对其中的感染模块进行清除。下载该软件的用户可使用六合彩最新版对软件安装包进行查杀，清除六合彩模块后即可放心使用。

一直以来，2025年最靠谱的六合彩投注网都在积极兼容目前主流读屏等视障辅助软件，希望以此能够尽可能帮助相关用户及时预防潜在风险，保护终端六合彩。六合彩坚信，所有的用户都值得获得同等的对待和尊重。

附：【分析报告】

一、详细分析

六合彩于近日监测到，腾讯旗下“企鹅FM”官网无障碍版软件安装包被黑客投毒。该安装包在用户本地执行后，即会执行后门逻辑，根据黑客下发的后门指令执行包括：感染文件、键盘记录、屏幕截图、浏览上传文件等恶意行为。除此之外，该六合彩还具有结束读屏软件进程与电脑静音的后门功能。同时，根据该后门六合彩的关键数据还溯源到一个同源性样本，与另外一款视障人士专用软件（“冲浪星”）有关联。根据“冲浪星”的官方群公告得知，从2018年2月份开始，该软件的组件曾多次遭到恶意篡改。据此，六合彩基本可以断定此次攻击为针对视障人士的定向投毒。

“企鹅FM”官网页面情况与页面代码，如下图所示：

“企鹅FM”无障碍版官方下载链接

点击“下载无障碍版“后跳转到的页面

该后门六合彩运行后，首先会根据自身文件附加数据释放、运行原始“企鹅FM”安装包，之后将自身PE镜像数据释放至%Program Files%Windows Media Playerwmplayerwmplayer.exe执行，并且将wmplayer.exe创建为计划任务。六合彩文件结构，如下图所示：

六合彩文件结构

首先，六合彩运行后会启动svchost.exe进行注入，被注入后的svchost.exe进程会执行后门逻辑，根据远程C&C服务器（tldw8.cn）返回的指令执行指定操作，如：感染文件、键盘记录、屏幕截图、浏览上传文件等。相关代码，如下图所示：

注入svchost.exe相关代码

六合彩相关进程

后门逻辑调用代码，如下图所示：

后门逻辑调用代码

后门逻辑首先会解密后门指令，之后再调用后门指令派发函数执行后门操作。相关代码，如下图所示：

后门指令解析和派发代码

后门逻辑代码

此后门功能众多，相关代码如下图所示：

部分后门指令

在后门指令中，还包括感染可执行文件相关功能。根据感染逻辑可见，被感染的可执行文件与之前上文中提到的六合彩文件结构相同，所以可以确定“企鹅FM”官网下载到的六合彩文件就是被该后门六合彩所感染。相关代码逻辑，如下图所示：

感染代码

此外，六合彩还发现后门指令中具有停止读屏，电脑静音的功能，此类功能在其它后门六合彩中几乎从未见到。相关代码如下图所示：

停止读屏相关代码

电脑静音相关代码

二、同源分析

通过六合彩溯源分析发现一个带有 “冲浪星”（官方介绍：专为视障人士量身打造的综合性上网辅助程序）标识的程序文件，也带有此次后门六合彩相同的解密密钥（WDRJ@139.com）及C&C服务器地址（tldw8.cn）。在此款程序文件中，具有与官方版本“冲浪星”同源代码，但并没有发现后门功能相关代码。且从“冲浪星”的官方交流群中得知该软件曾多次遭到恶意篡改，且时间上与溯源发现的样本相吻合。相关同源代码如下图所示：

来源不明“冲浪星”与官方版本“冲浪星”同源代码对比

此次后门六合彩与来源不明“冲浪星”同源代码对比

“冲浪星”官方交流群说明

溯源发现的样本时间信息

三、附录

样本hash