Lumma信息窃取病毒感染分析
2026年1月1日(星期四):本文记录了Lumma信息窃取病毒感染事件及其后续恶意软件的详细技术分析。
注意事项:相关ZIP文件均受密码保护。本网站已更新密码方案,密码请参阅网站"关于"页面。
关联文件
- 2026-01-01-IOCs-for-Lumma-Stealer-and-follow-up-malware.txt.zip - 1.1 kB (1,054字节)
- 2026-01-01-Lumma-Stealer-infection-with-follow-up-malware.pcap.zip - 4.5 MB (4,501,606字节)
- 2026-01-01-files-from-the-infection.zip - 19.4 MB (19,373,875字节)
Lumma信息窃取病毒示例文件
- SHA256哈希值:07b8e705a0017ab1df5ffabc1fc7fb0a4d0738e98235b5725e47bb9d5229c5c4
- 文件大小:31,720,900字节
- 文件类型:PE32可执行文件(GUI)Intel 80386,适用于MS Windows
- 文件名:application.exe
- 文件描述:Lumma信息窃取病毒的安装程序EXE
- 备注:原始文件大小为900 MB,包含大量空字节填充;本文件已移除大部分填充内容。
安装程序在受感染Windows主机上临时保存的文件
-
C:\Users[用户名]\AppData\Local\Temp\IXP000.TMP\645429\Treat.exe ← AutoIt3.exe的副本
-
C:\Users[用户名]\AppData\Local\Temp\IXP000.TMP\Auction
-
C:\Users[用户名]\AppData\Local\Temp\IXP000.TMP\Mono
-
C:\Users[用户名]\AppData\Local\Temp\IXP000.TMP\Portraits
-
C:\Users[用户名]\AppData\Local\Temp\IXP000.TMP\Uniform
-
C:\Users[用户名]\AppData\Local\Temp\IXP000.TMP\Finish.accde ← 用于构建Lumma信息窃取病毒.a3x文件的脚本
-
C:\Users[用户名]\AppData\Local\Temp\IXP000.TMP\Lifetime.accde
-
C:\Users[用户名]\AppData\Local\Temp\IXP000.TMP\Omega.accde
-
C:\Users[用户名]\AppData\Local\Temp\IXP000.TMP\Refugees.accde
-
C:\Users[username]\AppData\Local\Temp\IXP000.TMP\Tries.accde
安装程序创建的Lumma信息窃取病毒AutoIt3脚本(.A3X)
- SHA256哈希值:477bb335e2512e4a6b24b9b4ba6811e3d318bfa77d7665fec93e8d13a7bd820b
- 文件大小:762,960字节
- 文件类型:数据
Lumma信息窃取病毒C2通信流量
- offenms[.]cyou - HTTP和HTTPS流量
后续恶意软件流量
- hxxps[:]//pastebin[.]com/raw/pr8gCLAA
- memory-scanner[.]cc - HTTPS流量
- communicationfirewall-security[.]cc - HTTPS流量
图片说明
上图显示了在Wireshark中过滤出的感染流量。
Copyright © 2026 | Malware-Traffic-Analysis.net