揭秘：iOS恶意软件KeyRaider如何盗取超过22.5万苹果账户 - 推酷
揭秘：iOS恶意软件KeyRaider如何盗取超过22.5万苹果账户
最近威锋技术组发布微博称发现苹果商店后台存在漏洞，22.5万有效苹果账户密码被盗。他们对外公布了iCloud账号泄露查询工具（
），只要输入用户邮箱，就可以查询其iCloud帐号是否被盗。
在与威锋技术组的合作过程中，我们（paloaltonetworks研究人员）选取了92个最新iOS恶意软件家族的样本。通过分析样本我们发现这个叫做“KeyRaider”的终极恶意软件。我们认为这是目前针对苹果账户的影响最为严重的恶意软件。
KeyRaider的目标是越狱iOS设备，并通过位于中国的第三方Cydia存储库进行分布。总的来说，这一威胁目前可能影响到来自18个国家的用户，其中包括中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国。
恶意软件通过MobileSubstrate钓取系统进程，然后通过拦截设备上iTunes的流量盗取苹果账户用户名、密码以及设备GUID。KeyRaider盗取苹果推送通知服务的证书以及私钥，窃取并分享App Store购物信息，禁用iPhone和iPad上本地和远程的解锁功能。
KeyRaider成功盗取了22.5万有效苹果账户以及成千上万的证书、私钥以及购物凭证。恶意软件将盗取的数据传到智慧与控制（C2）服务器上，而服务器本身就存在漏洞，因此用户信息再度暴露。
攻击原本的目的是为了让使用了两个越狱工具的iOS用户能够在没有实际支付的情况下，使用官方应用商店的收费App。而越狱软件通常能帮助用户实现这一无法在正常情况下完成的行为。
而这两个越狱工具能够从C2服务器上劫持app购买请求、下载用户信息或者购买凭证，然后用户模仿iTunes协议登录Apple的服务器并执行购买app或者其他项目的请求。这两个越狱工具的下载量已超过2万次，也就意味着有至少2万用户正在滥用22.5万的被盗凭证。
一些受害者称他们被盗的苹果账户显示了异常app购买记录，不仅如此，还有人的手机收到了勒索要求。
这里我们将介绍这个恶意软件和攻击的详细情况。
发现KeyRaider
首次发现这个漏洞的是来自扬州大学的一个学生，网名为“i_82”，他同时也是威锋技术组的成员。
事情从头说起：
6月30日，苹果发布iOS 8.4正式版。
7月初，第一次大规模盗刷事件爆发，7月17-20日，第二次大规模盗刷事件爆发。而这些被盗刷的用户包括下载过各类助手软件、越狱过的用户，也包括从未越狱过的用户。
8月25日凌晨，威锋技术组成员发现某红包助手后台漏洞，发现20万个左右有效的iCloud账户与密码。并于当天下午将漏洞提交。
8月26日下午，威锋技术组成员在其微博上公布，泄露的22W账号只扒下12W时后台数据就被清除了，并在随后指出，基本上确认这次的盗号事件和刀八木有脱不开的关系！如果有安装它的插件的（不管什么插件）请全部卸载并更改您的全部的Apple相关的密码！！！
8月27日凌晨，威锋技术组对外公布iCloud帐号泄露查询工具正式对外公开查询，查询地址为：http://www.weiptech.org/ 。包含被扒下来的，被泄露盗取的Apple ID的有效数据量为105275条，其中来源八木的有69485条，来源iwexin的有9223条。而为了保护用户隐私，防止密码二次泄露，该查询工具只会显示被盗密码前后的数据，其他部分均予以隐去。
8月27日上午，苹果官方做出反应。威锋技术组将相关账号提供给苹果安全部门后，苹果对这批账号做了安全措施。如果用户在登录iCloud要求修改密码，则有可能该账户在本次泄露名单中。
8月27日中午，威锋技术组发布微博，“自12:57分开始，威锋技术组提供查询服务器遭受DDOS攻击。目前服务器访问缓慢，正在联系威锋网总部处理。”这意味着，在威锋技术组揪出盗窃账户黑手后，对一部分黑手的既得利益产生影响，从而受到了恶意攻击。
8月27日下午，威锋技术组成员再一次发表微博，提醒所有iCloud用户，改密码是当务之急，开二步验证式无法杜绝利用刷榜的，最重要最重要最重要的是防止被恶意锁机!
研究者通过观察这些用户安装的越狱软件，发现一个越狱软件收集用户信息并上传到一个特殊网站上面。而这个网站有一个简单的SQL注入漏洞，允许攻击者访问“top100”数据库中的全部记录。
图1.威锋技术组在C2服务器中发现的SQL注入漏洞
在这个数据库中，有一个表名为“aid“，包含225941个条目。尽管部分条目有加密，但是其中仍然有大约2万条中包含用户名、密码和GUID明文。
通过逆向越狱软件，研究者发现一段代码使用定向键“mischa07“的AES加密。使用这个静态密码能够成功破解加密的用户名和密码。后来经证实，这些账户都是苹果用户名及凭证。研究者下载了大约一半的数据之后，网站管理员发现这一情况随即关闭了服务器。
然而分析了威锋技术组的报告之后，Palo Alto网络研究人员并没有发现报告中提到的包含窃取密码并将其上传到C2服务器的恶意代码。然而，通过威锋提供的相关信息，我们发现存在其他恶意软件在收集用户被盗的信息并将其上传到同样的恶服务器上面。
KeyRaider分布
KeyRaider只能通过越狱iOS设备的Cydia储备库传播。与其他（例如BigBoss或ModMyi）Cydia源不同的是，
为每个注册用户提供了私人存储库功能，因此他们能够直接自行下载app并且相互分享。
一个名为“mischa07”的
用户，上传了15个KeyRaider样本到他自己的私人存储库中（图2），由于他的名字也被编码到恶意软件的加密和解密秘钥当中（图3），因此我们强烈怀疑mischa07便是KeyRaider的原作者。
图2.mischa07的个人Cydia存储库
图3.“mischa07”是恶意软件中的一个硬编码加密秘钥
从威锋网的数据可以看出，mischa07上传的工具已经被下载超过数万次。这些应用和工具为游戏作弊、系统优化以及app去广告服务。
以下是mischa07的两个比较有意思的工具：
&iappstore（图5）：为用户免费下载苹果官方应用商店中的付费软件提供服务。
&Iappinbuy：这个软件可以把那些应用内购买的项目都变成免费的。
Mischa07甚至在论坛发布了这两个工具的帖子进行推广，但是一些用户还是不相信它们所谓的神奇功能。然而，iappinbuy仍然获得了20199次下载量（图4），而iappstore只有62次（这仅仅是最新版本的数量）。
图4.一个恶意软件样本下载超过3万次
图5.iappstore工具能够直接从App Store安装付费app
图6.作者发帖推广他的iappstore工具
威锋网用户“氵刀八木”或称“bamu”，被认为是KeyRaider恶意软件的另一个传播者。氵刀八木因为其经常提供有用的工具而很受欢迎。攻击被曝光后，氵刀八木删除了几乎所有他上传至存储库的恶意软件，并在论坛对这一指责予以否认。然而，在核查过他上传的所有app或者工具之后，我们发现至少有77人的iOS设备安装了KeyRaider恶意软件。
Mischa07创建了这个恶意软件并且开发了不同版本，而bamu的恶意程序则主要通过恶意软件重新包装（例如iFile、iCleanPro和avfun的）已有应用程序或者工具。
KeyRaider向C2服务器上传劫持的用户密码时，里面会包括一个在HTTP URL中用于追踪感染源的参数，名为“flag”或者“from”。在mischa07的代码中，这些参数的值总是应用程序的名称，例如“letv”。而在bamu的样本中，所有的值永远都是“bamu”。从泄露数据中发现，67%的被盗数据来源于bamu。
由于bamu仅是一个散布者，我们后面的分析会聚焦于直接发布者mischa07的样本。
被盗取的用户数据
KeyRaider收集了三类用户数据并且用HTTP上传到了自己的C2服务器上，我们定位到了两种C2服务器：
&top100.gotoip4[.]com
&www.wushidou[.]cn
在分析过程中，这些域名可解析到IP地址113.10.174.167。在这个服务器上“top100”数据库有三个表：“aid”、“cert”和“other”。KeyRaider在服务器上使用了四个PHP脚本来获取数据库：aid.php、cert.php、other.php以及data.php。
通过分析代码和数据，我们发现&aid&表格存储了225941条泄漏的Apple用户名，密码，设备的GUID（全球唯一标识符）。&cert&表格存储5841个受感染设备的入口和私钥，它们可用于苹果推送消息。最后，&other&表格存储了超过3000设备GUID入口和App Store的购买凭证。
图7.一个被泄露的cert表中条目
我们整理了泄漏Apple用户的email地址发现超过一半用的是QQ邮箱，下面是TOP10的泄漏邮箱的域名（近六成是中国用户）：
然而我们也发现了一些其他地区的email地址：
& tw: Taiwan台湾
& fr: France法国
& ru: Russia俄罗斯
& jp: Japan日本
& uk: United Kingdom英国
& ca: Canada加拿大
& de: Germany德国
& au: Australia澳大利亚
& us: United States美国
& cz: Czech Republic捷克
& il: Israel以色列
& it: Italy意大利
& nl: Netherlands荷兰
& es: Spain西班牙
& vn: Vietnam越南
& pl: Poland波兰
& sg: Singapore新加坡
& kr: South Korea韩国
KeyRaider的恶意代码存在于Mach-O动态库，作为MobileSubstrate框架的插件存在。（iOS系统越狱环境下安装绝大部分插件，必须首先安装MobileSubstrate） 恶意软件通过此框架就可以钩取任意APP甚至系统进程的API。
曾经也有许多的IOS恶意软件利用了MobileSubstrate框架。例如Unflod（又称SSLCreds或Unflod baby panda）被Reddit上的用户发现，SektionEins分析其通过拦截SSL加密线路偷取Apple账户密码。AppBuyer去年被发现应用同样的技术偷取密码并从APP Store购买APP。KeyRaider在此技术上又向前了一步，实现了以下功能：
1、偷取用户账户和设备GUID
2、偷取证书和苹果推送的私钥
3、预防感染设备通过密码或iCloud设备解锁
偷取苹果账户数据
大多数KeyRaider的样本钩取SSL的读写函数都在itunesstored的进程里，itunesstored是系统的守护进程，用iTurnes协议与App Store通信。
图8.KeyRaider钩取itunesstored中的SSL读写函数
当App Store 客户端向用户请求数据登录时，信息是通过SSL加密会话传输给App Store 的服务器，KeyRaider寻找这种登录会话和特定的方式在数据传输过程中发现用户的账户信息，设备GUID（图9）。
图9.寻找SSL数据中的苹果账户信息
接着，在SSL读的替代函数中，这些证书都是用固定密钥“mischa07”AES算法加密后发给KeyRaider的C2服务器（图10）。
图10.上传数据到C2服务器
除此之外，SSL钩取函数利用MGCopyAnswer(“UniqueDeviceID”)读取设备GUID。
偷取用户证书和私钥
一些样本中，KeyDaider 同样钩取了apsd进程（一种IOS用于推送消息的守护进程）钩取了安全框架中定义的SecltemCopyMatching 函数，这个API用于寻找密钥项来匹配查询词条。
安装钩取之后，当查询词条为“APSClientIdentity”时，KeyRaider执行原始安全项目复制匹配，用 SecIdentityCopyCertificate和SecIdentityCopyPrivateKey 从原始函数返回结果复制证书和私钥，这些证书和GUID一起发送到C2服务器。IOS钥匙链中以APSClientIdentity标记的是IOS中用来推送消息的密钥。攻击者可以利用这些证书创建一个假的系统推送：
图11.复制推送服务器的证书以及秘钥
图12.上传证书和秘钥
当KeyRaider钩取SecItemCopyMatching时除了拦截了通知的证书还将查询请求标签和一个非常特殊的标签“com.apple.lockdown.identity.activation”做了对比，如果匹配就把请求置零（图13）。
图13.设置锁定激活结果总为零
此时网络没有任何com.apple.lockdown.identity.activation的公共记录，我们猜测这个查询用于解锁设备。通过置零操作预防用户解锁设备，本地输入密码和云端解锁都不行。样本分析至此，这段代码独立而且没有被任何代码引用，只在此处使用并以函数输出，但是我们有证据表明利用此函数的攻击已经发生。
共享免费APP
KeyRaider一些样本执行代码用来从C2服务器下载购买凭据和苹果账户，然而只有在 iappstore和iappinbuy 越狱配置中才起作用。
据作者描述，iappstore可以用于免费下载任何应用，让我们来看看怎么实现。
这个应用两次钩取了SSLWrite API ，第一次偷取密码，第二次试图判定当前http请求是否和 “POST /WebObjects/MZBuy.woa/wa/buyProduct”一致，这是用于判定当前会话是否在用iTunes协议购买APP（图14）。
图14.钩取app购买会话
如果请求是在购买，下一次SSLWrite调用，钩取代码匹配数据中关键字“salableAdamId”, “appExtVrsId”, “vid”, “price”, “guid”, “installedSoftwareRating” 和 “pricingParameters” 用以定位当前APP的支付信息，如果APP不是免费的 fire（）函数调用。
fire（）函数调用readAid()函数，readAid（）读取本地文件/var/mobile/Documents/iappstore_aid.log 。此文件包含苹果用户账户信息，设备GUID，iTurnes 会话 token，cookie，电话号码，操作系统信息和iTunes CDN 服务器编号。函数分析数据并创建账户对象。
如果文件不存在，就调用readAidUrl（）函数就从C2服务器下载新的账户信息再创建账户对象（图15），图16表示从服务器下载的账户。
图15.从C2服务器下载苹果账号
图16.被盗取的苹果账户正在从C2服务器下载
创建账户对象后，fire（）生成一种账户信息参数表，接着调用login（），sendBuy（）。
login（）函数用参数表语句和AppStore账户创建一个HTTP连接到下面的url：
& p*-buy./WebObjects/MZFinance.woa/wa/authenticate
这导致当前iTunes会话远程账户登录（图17）。
图17.模拟登录协议
登录请求后，login（）分析返回的结果，cookie，token和其他信息并和密码一起保存到本地iappstore_aid.log 以便下次购买。如果登录失败密码错误，再次调用readAidUrl（）从C2服务器获取另一个帐号。
sendBuy（）函数工作类似login（）函数 请求了另一个url用于APP购买认证：
& p*-buy./WebObjects/MZBuy.woa/wa/buyProduct
这么一套程序下来，iappstore tweak 可以用其他人的账户成功购买任何app。
至此，除了这些作用外，两个独立函数versifySF（）和versifySF2（）在样本中也执行了，KeyRaider也试图获取并使用账户密保问题和答案，这一部分功能在样本中还没有完成。
iappinpay的功能类似于iappstore（图18），唯一的区别是购买接口改变和利用一些变量，因为C2服务器数据库也存储着之前的APP购买的凭证，看起来作者还计划着重用这些凭证，可能把它们发送到手机到证明之前已经买过了这个APP。
图18.In-App-Purchase 认证请求
劫持手机勒索赎金
除了偷账户买app之外，KeyRaider还有劫持ios手机勒索的功能。
一些之前的iPhone勒索攻击基于iCloud服务远程控制手机技术。其中有一些重置密码就可以重新控制iCloud。KeyRaider不一样，它本身禁止任何的解锁操作，包括输密码和iCloud重置。利用私钥和证书可以直接发提示信息要求赎金，不用经过苹果的推送服务。因为这种设计，以前的解决办法都无效了。
我们知道KeyRaider已经能劫持勒索了，作为一个受害者你只能苦逼的看到以下画面 解锁加QQ 和电话（图19）。
图19.被锁iPhone收到的勒索信息
其他的潜在危险
早在四月的Palo Alto Networks Ignite 大会上，我们介绍了地下市场和IOS攻击的供应链，KeyRaider在此链条中扮演了一个非常重要的角色。
以一个受害者的苹果账户密码，攻击者可以发起任何附加的攻击。例如，通过iCloud控制设备，窃取私人信息包括短信记录，照片，邮件，文件和地理位置。2014年好莱坞艳照门事件，引起公众的广泛重视苹果账户认证的潜在威胁。
另外，还有好多方法利用这些被盗账户：
一些开发者会付钱给自己的APP提升商店中的排名，装机量是提升排名的重要因素。利用窃取的数据，攻击者很容易安装升级APP以提升排名。事实上，许多KeyRaider的受害者声称他们的苹果账户有异常的下载历史使它们发现了这样的攻击。
攻击者用窃取的帐号从APPStore购买付费的APP。费用由受害者出，但是收益会流到苹果公司并给开发者一部分。开发者和攻击者串通分脏，像APPBuyer那样运作是完全可能的事情。
合法的苹果账户可以单独卖给垃圾邮件发送方。以前SMS垃圾邮件发送需要花钱而且容易被查水表。然而，基于iMessage的发送仅需要网络和接受者的ID。这种方法在近几年非常流行。
手握受害者的账户信息，它们的设备和iCloud中的文件对攻击者来说都会产生许多附加收益。
这些窃取的账户仍然可以在其他的市场上售卖。苹果有一个安全机制预防设备丢失或者设备被擦除重新售卖，需要你在擦除之前认证苹果帐户。如今这有一个个人市场定位设备的账户信息。
未来的攻击方向
结合iCloud的个人信息，窃取的账户仍可用于社会工程，欺骗和定点攻击。
预防和防护
一定要记住KeyRaider只运行在越狱的IOS设备上，没有越狱的IOS设备不受此类攻击的影响。
Palo Alto网络8月26日提供了被盗账户的信息。威锋技术组在攻击者修复漏洞之前只能修复大约一半的账户。从不信任的Cydia资源安装的APP或优化工具仍然受影响。
Palo Alto网络已经发布了DNS签名覆盖了KeyRaider的C2服务线路防止恶意软件。
用户有以下措施判断设备是否被感染：
1、通过Cydia安装openssh 服务
2、SSH连接设备
3、打开/Library/MobileSubstrate/DynamicLibraries/ 检索以下字符串：
& wushidou
& getHanzi
如果任何dylib文件包含其中任何一个字符串，我们建议删除它并删除同名的参数表文件，然后重启设备。
还建议所有受影响的用户删除恶意软件后修改苹果账户的密码，开启苹果账户的二次认证。
点击这里。
首先建议不想遭受此类攻击的用户，可以避免的话万万不要给自己的iphone或ipad越狱。此时，Cydia的程序库对上传的软件没有任何严格的检查措施，用Cydia的程序需要自己承担风险。
一些KeyRaider的样本SHA-1值陈列如下：
9ae5549fddae7a7e983d4fcb2b797f
CertPlugin.dylib
bb56acf8be4380dcf7f5acfbdf80d
MPPlugin.dylib
5c7c83abd96cd1f353e24dec3ba66
iappinbuy.dylib
ff4398316cce593af11bd45c55c9b91
iappstore.dylib
017b0cdca2f18b2e83d
9catbbs.GamePlugin_6.1-9.deb
4a154eabd5a5bd6ad0203eea6ed68b31ecatbbs.MPPlugin_1.3.deb
ef1cfcacb1b5catbbs.iappinbuy_1.0.deb
af5d7ffe0dc189f22e11a33c7a407
9catbbs.iappstore_4.0.deb
a05b9af5f4ccce321cd4b0435f89fba8
9catbbs.ibackground_3.2.deb
1cba9fe852b05cce1d
repo.sunbelife.batterylife_1.4.1.deb
特别鸣谢扬州大学的i_82童鞋和威锋科技组与我们分享信息、报道以及各种有用的信息；
感谢威锋科技的CDSQ和感谢Weiphone提供样本；
感谢乌云社区Xsser和Fenggou信息分享；
感谢Palo Alto 网络的Sereyvathana Ty、Zhaoyan Xu 和 Rongbo Shao 察觉了威胁；
感谢Palo Alto网络Ryan Olson的审校工作。
*参考来源：
，转载请注明来自FreeBuf黑客与极客（）
已发表评论数()
已收藏到推刊！
请填写推刊名
描述不能大于100个字符!
权限设置： 公开
仅自己可见
正文不准确
标题不准确
排版有问题
没有分页内容
图片无法显示
视频无法显示
与原文不一致怎样知道自己的电脑的资料被黑客盗取了_百度知道
怎样知道自己的电脑的资料被黑客盗取了
有什么办法可以防止计算机的数据不被盗取?
我有更好的答案
▲在电脑主板CMOS设置中设置防止对硬盘的分区和格式化的保护，通常的设法是：进入CMOS（一般开机或重置或热启动后按Del键进入）→选择“BIOS FEATURES SETUP”→选择“Virus Warning”→ 设置为“Enabled”→按“ESC“键→选择“SAVE & EXIT SETUP”后按回车键→选择“Y”后按回车→重启动后即可。以后该电脑硬盘的重新分区和格式化将受到保护。
▲购买或在网上下载有关在线检测病毒的软件或防火墙，将其设置成在线检测状态，这就会在遇到一般的病毒感染都会即时报警并将其拒绝安装。但必须注意，安装了这种软件并不是就万事大吉了，原因有：一是电脑病毒与人体病毒类似，是不断地被发现的，已有的防电脑病毒软件是不一定能对新的电脑病毒有检测和防范作用的；二是防电脑病毒软件也会被电脑病毒感染的，正如...
其他类似问题
为您推荐：
黑客的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁盗窃初犯盗取价值3000元物品会怎么判？_百度知道
盗窃初犯盗取价值3000元物品会怎么判？
一般盗窃罪以涉案金额定罪处罚，涉案3000元，基本属于盗窃罪中“数额较大”标准，依法量刑是：三年以下有期徒刑、拘役或者管制，并处或者单处罚金。（因各省市对盗窃罪立案量刑标准不同，请再查询犯罪地标准参考。）初次犯罪，主动退还的，认罪态度好、积极赔偿取得受害人谅解的，可以从轻或者减轻、免除刑事处罚。
法律依据：
1、最高人民法院最高人民检察院关于办理盗窃刑事案件适用法律若干问题的解释
第七条 盗窃公私财物数额较大，行为人认罪、悔罪，退赃、退赔，且具有下列情形之一，情节轻微的，可以不起诉或者免予刑事处罚；必要时，由有关部门予以行政处罚：(一)具有法定从宽处罚情节的；(二)没有参与分赃或者获赃较少且不是主犯的；(三)被害人谅解的；(四)其他情节轻微、危害不大的。
2、最高人民法院最高人民检察院关于办理盗窃刑事案件适用法律若干问题的解释
第一条 盗窃公私财物价值一千元至三千元以上，三万元至十万元以上、三十万元至五十万元以上的，应当 分别认定为刑法第二百六十四条规定的“数额较大”、“数额巨大”、“数额特别巨大”。各省、自治区、直辖市高级人民法院、人民检察院可根据本地区经济发展状况，并考虑社会治安状况，在前款规定的数额幅度内，确定本地区执行的具体数额标准，报最高人民法院、最高人民检察院批准。
3、《刑法》第二百六十四条【盗窃罪】盗窃公私财物，数额较大的，或者多次盗窃、入户盗窃、携带凶器盗窃、扒窃的，处三年以下有期徒刑、拘役或者管制，并处 或者单处罚金；数额巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处罚金；数额特别巨大或者有其他特别严重情节的，处十年以上有期徒刑或者无 期徒刑，并处罚金或者没收财产。
4、《治安管理处罚法》第四十九条盗窃、诈骗、哄抢、抢夺、敲诈勒索或者故意损毁公私财物的，处5日以上10日以下拘留，可以并处500元以下罚款；情节较重的，处10日以上15日以下拘留，可以并处1000元以下罚款。
其他类似问题
为您推荐：
可以成立盗窃罪了，拘役，或管制，碰到个喜欢轻判的法官，并处或单处罚金：三年以下有期徒刑。如果运气还可以，偶犯的话。如果你的朋友是初犯。量刑应该是，主动自首归还财物，很有可能。按照你所说的情况，基本上都够立案标准，在任何一个城市，3000元盗窃罪。你的朋友盗窃后
其他5条回答
呵呵，看警察怎么处理吧，都是复制的，如果刑事拘留就赶紧办取保侯审吧，最多拘役如果是首次以前没有盗窃前科，就是判也不会超过5个月，别听别人瞎说，不超过6个月，什么3年以下，你没说现在你朋友的情况，应该是治安拘留，而且主动归还盗窃物品
三年以下处罚金！如果你想帮忙就去把受害人搞定，让客户不追究，再完申请逮捕就完了，只要死活让客户原谅就根本没有多大事了！要快
那客户不太好搞定，现在他们的态度很想找事干...物品归还后还是很强硬，不太好解决啊。
呵，赔钱，求人，谁叫他偷人家的。不然只有去坐牢了。
赔钱没有问题，问题是人家不原谅啊，泪奔....
还不听我的，你不相信，你朋友绝对进去。
看你在哪个城市了，3000元一般已经达到了盗窃罪的入罪数额。一般3年以下有期徒刑，考虑事后归还的情节，可以从轻处罚。
您好！你朋友涉嫌盗窃罪，一般在三年以下量刑，但是，鉴于你朋友事后主动将赃物归还，又系初犯、偶犯，犯罪情节比较轻，可以争取缓刑。
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁