近期，笔者所在的QQ群有多名网友反馈Steam账号被盗或者冻结，疑似中了盗号木马

笔者无意往前翻群聊天记录，发现疑似群内有人故意传播盗号木马

该网盘以免费分享收费的辅助破解版为噱头，吸引了大量的想要尝试神秘力量的网友中招

这些欲使用辅助的网友既是受害者，又是未遂的加害者

这里我们随便找一款辅助来测试一下是否真的是因此网盘盗号（以网盘内千里眼插件测试）

下载后解压，然后运行，发现报错，

通过分析得知，木马释放器伪装成原辅助名字，运行后释放到：

C:\Users\Administrator\AppData\Roaming目录下

一个是真正的插件，一个是未知的文件 mm.exe（实际为Steam盗号木马）

这里，我们将报错的原文件放回文件目录，此时游戏辅助可以正常启动，这里已经提示更新了，当然这不重要

捆绑木马的人可能根本没认真看过原程序，导致连过期的程序都没法跑起来

再来看看mm.exe

这里推荐一下火绒剑，UI很友好，分析很方便，

过滤进程只捕获mm.exe的事件

过滤事件，我们先看看联网干了些什么

访问了两个网址：

http://66.11.117.198/n/getinfo.php?name=384871

http://66.11.117.198/n/readGmail.php?name=384871

到了这里基本上可以确定这个mm.exe就是Steam盗号木马本尊了

由上面的信息，笔者推断，此盗号木马已形成产业链，上面的信息文本是给下级传播者的后台公告，下面的则是此网盘木马客户端的后台，负责控制接受QQ邮件，在用户激活木马利用邮箱key漏洞接受受害者所有邮件，这里特别指明一点：一般用户的Steam账号都是QQ邮件，当盗号者进入受害者的邮箱后是很容易盗取受害者的Steam账号的

产业示意图

该木马还会修改注册表启动项，伪装微软安全验证骗过一些没有经验的用户达到循环盗号

此木马还有对键鼠下钩子的操作，这里可以使用哈勃/魔盾来分析

在笔者准备使用静态分析技术解剖此病毒时，发现腾讯电脑管家可以精准查杀此木马，所以本次分析就到此为止

有点意外的是，QQ群内被盗号的同学，开启了火绒缺没有捕捉到此木马，

经测试，火绒确实无法查杀此木马，版本号：4.0.69.13 （非水军，实验后证明）

总结：

现阶段的杀毒软件保护技术已经日趋成熟，病毒木马的存活空间越来越窄，作为游戏玩家，使用游戏辅助外挂必将受到游戏Anti cheat的惩罚，更不应该听信这些所谓的免费外挂，维护网游环境，人人有责。

关于Steam账号安全防护的几点建议：

1. 设置QQ邮箱独立密码

2. Steam账号绑定手机令牌

3. 拒绝使用未知来源的游戏外挂

来源：飘—投稿

GSLAB网站投稿文章仅代表作者本人的观点，与本网站立场无关。

*转载请注明来自游戏安全实验室（GSLAB.QQ.COM）