QQ三国盗号木马分析报告

一.背景先容

近年来收集游戏越来越火,人们充值大年夜量金钱玩一个心爱的游戏已成常态,以是有些游戏账号异常值钱,分外是QQ三国这种每次更新都要氪金的游戏,虽然只剩下部分老玩家在玩,但他们中的大年夜部分账号都有许多值钱的设置设备摆设和物资。使得某些造孽分子将眼光放在了这些游戏账号上面,他们编写盗号木马,经由过程各类手段让玩家运行,偷取到账号后会窃取设置设备摆设和物资,以换取金钱。

二.概述

该木马运行后会在QQSG.exe所在目录开释Tsg1.dll(盗号模块),并改动三个dll的进口地址,使得QQSG.exe运行时加载这三个dll的此中一个后也会加载Tsg1.dll。该盗号模块加载时会创建一个线程,认真将本地的网卡、系统版本等信息提交到编写者的办事器。然后改动QQSG.exe的关键地址,以截取账号密码等信息,发送到编写者的办事器。

图-盗号流程

三.具体阐发

1.母体木马qqsg501.exe

MD5:10BFAF8079777878CFB155B87651DE5A

1.1 进程提权

图-进程提权

1.2 探求QQSG.exe

创建进程快照,探求QQSG.exe,找不到则查询注册表项,还找不到就遍历硬盘探求。

图-在进程和注册表中探求QQSG.exe

图-遍历硬盘探求QQSG.exe

1.3 关闭QQSG.exe

关闭后,玩家只能从新登录,然后被后面注入的模块窃取账号。

图-关闭QQSG.exe

1.4 开释盗号模块Tsg1.dll

图-开释Tsg1.dll

1.5 改动三个dll

改动三个dll(dsound.dll、Zlib1.dll、DisplayD3D8_Dll.dll)的DLLMain进口地址,使其被加载时顺便加载盗号模块Tsg1.dll,加载完会自我修复。

图-改动dll

1.6 自我删除

做完dll注入的事情后,会自我删除。

图-自我删除

2.盗号模块Tsg1.dll

MD5:065AB6C5416DC2168B83FD178A68895

2.1 检测加载该dll的进程

图-检测进程

2.2 发送本机信息

创建一个线程获取本机的网卡、系统等信息,然后发送到HTtp://cda3.dnsdate.com:6299,并会哀求文件,写入临时文件夹,由于域名已无法造访,该行径无法明确。

图-发送哀求

图-发送内容

2.3 HOOK QQSG.exe关键指令

从QQSG.exe代码肇端地址开始探求匹配、改动某些位置的代码,由于QQSG.exe加了PELock壳保护,只能结合另外5个未被该dll调用却会发送数据或截屏给编写者办事器的函数(sub_10004C04、sub_10004C97、sub_10004C48、sub_10004D44、sub_10004D70),预测这段代码是HOOK了5个关键位置代码,分手跳转到这5个函数,并向编写者办事器发送各类账号信息。

图-改动代码

2.4 发送账号信息

sub_10004C04会反省经由过程HOOK通报过来的参数是何种账号信息,并抉择将其发送到编写者办事器的哪个地址,地址由函数sub_100043DB解密获得。

有三个接管地址:

http://222.186.55.213:8107/gk/lin.asp

http://222.186.55.213:8107/gk/mb.asp

http://222.186.55.213:8107/gk/pic.asp

[1] [2]下一页

图-反省通报过来的参数

图-发送账号信息

2.5 发送截图

sub_10004D70经由过程HOOK获得履行时机后会创建线程,进行截屏并且发送图片到编写者的办事器,可能是想获得密保卡。

图-截屏

图-发送图片

四.总结

该木马运用了在资本表暗藏文件、DLL进口挟制和优先加载当前目录下dll要领实现DLL注入、HOOK游戏关键指令获取账号密码、截屏、发送哀求等技巧来实现盗号的功能,全程十分隐蔽。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包