文章总结： 报告披露一款名为SecretPictures的Go语言USB蠕虫兼信息窃取器，通过检测可移动驱动器自复制传播，每10秒循环收集浏览器凭据、钱包、系统指纹并POST至malware.invalid.com，同时接受Base64编码C2指令；它自复制到C:\Systemlogs\logscheck.exe并写入Run键实现持久化，运行后自删除隐蔽痕迹。建议立即结束进程、删除文件与注册表项、封锁域名、关闭USB自动运行并全员扫描U盘。 综合评分： 92 文章分类： 恶意软件,漏洞分析,终端安全,威胁情报,应急响应

---

恶意软件分析报告：“SecretPictures” USB 蠕虫 & 信息窃取器

hai dragon hai dragon

安全狗的自我修养

2026年1月21日 15:46 湖南

官网：http://securitytech.cc

#

场景

大学的 IT 团队开始收到关于图书馆电脑出现异常活动的报告。学生发现他们的 USB 盘中会突然出现隐藏文件，又在片刻之后消失。调查发现有一个可疑文件名为 “SecretPictures”。当打开它时，文件会立刻消失，不留下任何痕迹，而且没有任何杀毒工具能够识别它。

IT 团队隔离了该文件并提供给你进行分析。作为一名网络安全分析师，你的任务是确定这个恶意软件做了什么、它如何传播，以及在影响更多系统之前如何阻止它。

按回车或点击可查看大图

---

恶意软件的 MD5 哈希是多少？

fd46d178474f32f596641ff0f7bb337e

按回车或点击可查看大图

sha256：80e82415a26ac7c0124bbaa2133192dadd51cbc5ed22b202ebb24f6fddf8c8ab

---

恶意软件使用什么编程语言编写？

golang

按回车或点击可查看大图

---

🎯 关键恶意软件洞察：

• 🔒 核心威胁： 文件 secretPictures.exe 被确认是恶意的，在 72 家安全厂商中有 49 家标记为恶意，虽然其具体威胁名称目前未知。
• 🛠️ 技术特征： 这是一个 5.23 MB 的 Win64 可执行文件，使用 Golang (Go) 编写，这种语言越来越常被用于创建规避性强、跨平台的恶意软件。
• ⚙️ 主要行为： 该恶意软件表现出多种关键恶意行为，包括尝试建立持久化、执行释放的文件、检查 USB 总线（通常用于数据外传或传播）、以及自删除以掩盖踪迹。
• 🛡️ 规避手段： 使用了高级反调试技术（例如 IsDebuggerPresent、QueryPerformanceCounter）来阻碍安全工具的分析和检测。
• 🎭 可能的家族： 根据其独特的导入哈希（imphash），它与已知的信息窃取家族如 Vidar、Rhadamanthys 和 Stealc 有很强的代码相似性，表明它的设计目的就是窃取敏感数据。
• 🌐 初次发现： 该样本首次记录于 2025 年 11 月 27 日，上传来源追踪到美国，表明其活动较新。

该特征表明我们面对的是一个复杂、具备规避能力的恶意软件样本，很可能是一个信息窃取器。

---

让我们反汇编它。

由于 Go 会静态链接整个标准库，因此 Go 二进制文件中包含大量文件。

我们只需要关注 main，所有逻辑都在那里。

---

📁 详细函数分析

按回车或点击可查看大图

---

阶段 1：初始化与侦察

• main_checklffileExists：很可能检查某个锁文件或配置，用来避免重复感染同一系统或检查前置条件。
• main_getComputerName / main_getOSVersion：收集基本系统标识信息（主机名、Windows 版本）用于指纹识别受害者。
• main_getCurrentPath：确定恶意软件当前从哪里执行。

---

阶段 2：核心数据窃取（Heist）

• main_collectData / main_heist：核心窃取函数，调用其他模块来收集：

• 浏览器 Cookie、密码、自动填充数据

• 加密货币钱包文件

• FTP 客户端凭据、桌面文件、文档

• 系统信息

• main_formatData：准备并打包窃取的数据（例如 ZIP、JSON 或加密数据块）用于外传。

---

阶段 3：通信与传播

• main_touchBase：联系 C2 服务器。 用于发送被盗数据并接收新指令。
• main_outbreak：暗示传播能力，可能通过 USB、网络共享或邮件传播。
• main_copyExec：复制自身到其他位置（如 %AppData%、%Startup%）用于持久化或感染可移动设备。
• main_repeat：表示循环或计划执行机制。
• main_runCommand：允许恶意软件执行来自 C2 的任意系统命令，给予攻击者完全控制。

---

阶段 4：规避、持久化与清理

• main_hide：隐藏进程、窗口或文件。
• main_lurk：进入隐蔽等待状态。
• main_vanish：自删除流程，安装后删除原始可执行文件以清除痕迹。

---

阶段 5：错误处理与结构

• 以 _deferwrap 结尾的函数是 Go 的内部错误处理与资源清理。
• main_handleErr：集中管理运行时错误。
• main_main：Go 程序入口点。

---

初次运行后恶意软件复制到的文件夹名是什么？

Systemlogs

在 main_copyExe 中关键指令为：

lea     rax, off_762780
lea     rcx, off_7627A0

off_7627A0 包含目标路径字符串的内存地址。

---

📁 函数工作流程

• 打开源文件
• 打开目标文件
• 复制数据
• 清理句柄

---

恶意软件通过复制自身到所有已连接驱动器传播。

目标路径示例：

E:\SecretPictures.exe

---

我们在 main_vanish 中也看到复制行为。

代码流程：

1. 创建目录 C:\Systemlogs\
2. 构造路径：

C:\Systemlogs\logscheck.exe

3. 复制自身
4. 执行新文件（隐藏窗口）

---

🕵️ main_repeat 分析

10 × 1,000,000,000 = 10 秒

每 10 秒执行：

• main_outbreak
• main_touchBase
• main_heist

---

恶意软件为了持久化修改了哪个注册表键？

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\HealthCheck

---

🔍 main_lurk 分析

创建：

HealthCheck = C:\Systemlogs\logscheck.exe

---

恶意软件尝试连接的 FQDN 是什么？

malware.invalid.com

---

🕵️ main_touchBase – C2 通信

http://malware.invalid.com/base

Base64 解码后执行命令。

---

恶意软件使用哪个 Windows API 检查驱动器类型？

GetDriveType

仅感染可移动设备。

---

使用哪个 Go 标准库函数进行定时执行？

NewTicker

---

恶意软件使用什么编码解码服务器响应？

Base64

---

🔍 main_collectData

收集：

• 主机名
• 系统版本

---

🔍 main_heist

POST 到：

http://malware.invalid.com/heist

字段：

• name
• version

---

🧠 结论：恶意软件如何工作

该恶意软件是一个用 Go 编写的 USB 蠕虫 + 信息窃取器，目标是：

• 收集系统信息
• 通过 USB 传播
• 持久化驻留
• 与 C2 通信执行命令

---

🧹 清理与修复

• 结束进程

• 删除文件

• 删除注册表

• 扫描 USB

• 阻断域名

• 禁用 USB 自动运行

• 加强用户安全意识

• 公众号:安全狗的自我修养

• vx:2207344074

• http://gitee.com/haidragon

• http://github.com/haidragon

• bilibili:haidragonx

#

• 

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全狗的自我修养 hai dragon hai dragon《恶意软件分析报告：“SecretPictures” USB 蠕虫 & 信息窃取器》