发布于:2018-9-18 10:40 | 182170次阅读 作者: 外部投稿 | 原作者: 飘
近期,笔者所在的QQ群有多名网友反馈Steam账号被盗或者冻结,疑似中了盗号木马 笔者无意往前翻群聊天记录,发现疑似群内有人故意传播盗号木马
该网盘以免费分享收费的辅助破解版为噱头,吸引了大量的想要尝试神秘力量的网友中招 这些欲使用辅助的网友既是受害者,又是未遂的加害者
这里我们随便找一款辅助来测试一下是否真的是因此网盘盗号(以网盘内千里眼插件测试)
下载后解压,然后运行,发现报错,
通过分析得知,木马释放器伪装成原辅助名字,运行后释放到:
C:\Users\Administrator\AppData\Roaming目录下
一个是真正的插件,一个是未知的文件 mm.exe(实际为Steam盗号木马)
这里,我们将报错的原文件放回文件目录,此时游戏辅助可以正常启动,这里已经提示更新了,当然这不重要
捆绑木马的人可能根本没认真看过原程序,导致连过期的程序都没法跑起来
再来看看mm.exe 这里推荐一下火绒剑,UI很友好,分析很方便,
过滤进程只捕获mm.exe的事件 过滤事件,我们先看看联网干了些什么
访问了两个网址:
http://66.11.117.198/n/getinfo.php?name=384871
http://66.11.117.198/n/readGmail.php?name=384871
到了这里基本上可以确定这个mm.exe就是Steam盗号木马本尊了
由上面的信息,笔者推断,此盗号木马已形成产业链,上面的信息文本是给下级传播者的后台公告,下面的则是此网盘木马客户端的后台,负责控制接受QQ邮件,在用户激活木马利用邮箱key漏洞接受受害者所有邮件,这里特别指明一点:一般用户的Steam账号都是QQ邮件,当盗号者进入受害者的邮箱后是很容易盗取受害者的Steam账号的
产业示意图
该木马还会修改注册表启动项,伪装微软安全验证骗过一些没有经验的用户达到循环盗号
此木马还有对键鼠下钩子的操作,这里可以使用哈勃/魔盾来分析
在笔者准备使用静态分析技术解剖此病毒时,发现腾讯电脑管家可以精准查杀此木马,所以本次分析就到此为止
有点意外的是,QQ群内被盗号的同学,开启了火绒缺没有捕捉到此木马,
经测试,火绒确实无法查杀此木马,版本号:4.0.69.13 (非水军,实验后证明)
总结:
现阶段的杀毒软件保护技术已经日趋成熟,病毒木马的存活空间越来越窄,作为游戏玩家,使用游戏辅助外挂必将受到游戏Anti cheat的惩罚,更不应该听信这些所谓的免费外挂,维护网游环境,人人有责。
关于Steam账号安全防护的几点建议:
1. 设置QQ邮箱独立密码 2. Steam账号绑定手机令牌 3. 拒绝使用未知来源的游戏外挂 来源:飘—投稿 GSLAB网站投稿文章仅代表作者本人的观点,与本网站立场无关。 *转载请注明来自游戏安全实验室(GSLAB.QQ.COM) |
最新评论
发表评论