“听说你爱我”网游盗号木马追踪

2016-03-28 206760人围观 ,发现 10 个不明物体 终端安全

近期有玩家反映游戏遭木马盗号,并发现黑客就像阴魂不散一样随时都能控制电脑。根据网友反映的样本信息,360QVM团队进行分析,发现该木马以内存加载和恢复恶意代码的方式来躲避查杀,同时它还会开启3389端口并增加一个管理员帐户,使盗号者能够随时远程登录受害者电脑,即使木马被查杀也极易再次中招。

木马一共有四个文件,一个快捷方式,三个隐藏属性的文件,分别是一张图片,一个exe文件和dll文件,exe程序被加密:

1.jpg

2.PNG

可执行程序是隐藏的,打开快捷方式之后显示了一张图片:

3.jpg

但是木马程序已经在后台开始运行。分析快捷方式文件“12浓雾之息.lnk”,我们找到了一个文件名:

4.jpg

这是被快捷方式启动的木马程序,继续分析找到这个木马程序,它首先会调用命令行显示图片:

5.jpg

接着释放crossfire.exe文件和Release.dll文件到临时目录:

6.jpg

7.jpg

然后创建crossfire.exe进程:

8.jpg

crossfire.exe的主要功能是修改Release.dll的前两字节,并且在内存中加载Release.dll。

9.jpg

10.jpg

Release.dll经过修改之后,是一个加密的dll文件,

11.jpg

里面有木马的主要功能:

1、遍历检测杀毒进程

12.jpg

2、查找游戏相关的信息

13.jpg

3、获取键盘信息

14.jpg

15.jpg

4、联网下载文件

16.jpg

5、接受远程指令,开启3389,接受远程控制等

17.jpg

18.jpg

其中会判断3389是否开启,以及安全狗防护页面等

19.jpg

20.jpg

由于具备了完整的远控和盗号功能 ,根据远控的域名信息a19931108.com,进一步分析牧马人信息:

21.jpg

通过搜索1030889799@qq.com,我们找到了该QQ号的受害者以及牧马人的相关信息:

22.jpg

23.jpg

24.jpg

根据木马查杀数据,从2月初到3月,该盗号远控木马已活跃了一段时间,主要通过游戏平台和聊天软件文件传输进行传播。

在此提醒游戏玩家,电脑“文件夹选项”的设置一定要显示文件类型的扩展名,以免被木马文件的名称和图标迷惑;如果杀毒以后发现电脑反复感染病毒,建议使用安全软件“防黑加固”,防止远程端口被黑客控制利用。

* 作者:360安全卫士(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

更多精彩
发表评论

已有 10 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php