欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

游戏外挂辅助软件幕后的黑色产业链流水线:年挟持入侵攻击万千次盈利数千万

来源:本站整理 作者:佚名 时间:2017-09-18 TAG: 我要投稿

图为黑客服务器上的的用来做跳转的主页(图2.4.1)
该黑客的服务器主页地点如下:
http://dh.112zm.com/
http://dh.liuxue789.cn/
2.5.该黑客构造还应用博客停止宣布云控地点
颠末木马作者信息的追踪,咱们还发明该黑客构造在以前还应用博客(http://jpzm.blog.163.com/)来停止宣布云控地点等等,该博客地点没啥内容,下面都是一些16进制数据,是用来寄存云控相干数据的。

图为该木马作者的网易博客截图(图2.5.1)
3. 挟制导航的焦点法式阐发
该黑客构造的云控的焦点法式实在分红三部门:

图2.5.1(1)
3.1. 应用游戏帮助从云控地点下载挟制主页的法式,如极品帮助盒子中的intel.exe

图为游戏帮助下载云控设置设备摆设焦点代码(图3.1.1)
此中sub_40EE30便是卖力下载文件的重要函数,其支撑GET和POST两种办法下载,还支撑HTTPS下载,此中焦点代码如下截图:

图为下载法式的部门代码(图3.1.2)
3.2. 启动intel.exe法式
拜访云控设置设备摆设id.js剧本,天生或改动用户桌面上的浏览器快捷办法和用户电脑疾速启动项的浏览器快捷办法,以到达挟制,不外浏览器携带参数是加密的。

图为拜访云控主页的剧本id.js部门代码(图3.2.1)
此中该id.js剧本便是依据游戏帮助通报的参数,来决议挟制浏览器主页的挟制地点,且该挟制主页还辨别了XP和win7系统,其代码截图如下:


图为id.js的部门代码(图3.2.2)
Intel.exe法式会遍历用户电脑桌面上的快捷办法,轮回查找用户电脑上的快捷办法,能否包括如下关键字:chrome、360se、世界之窗、firefox、网址大全.lnk、opera、浏览器、上彀、导航;假如有就间接改动快捷办法参数,若没有就创立ie浏览器的快捷办法,名字叫”上彀_点这里”,且将用户电脑的默许浏览器门路保留至cfg.ini文件中。

图为intel.exe法式遍历桌面快捷办法的函数(图3.2.3)

图为intel.exe法式创立桌面快捷办法的函数(图3.2.4)

图为末了在用户电脑桌面上创立的浏览器快捷办法,带加密参数(图3.2.5)

图为cfg.in文件的内容(图3.2.6)
3.3. 用户关上浏览器快捷办法
当用户点开桌面的浏览器快捷办法时,会启动黑客构造完成下载好的一个白应用法式,该白法式会加载QQPCDetector.dll,该dll会解密快捷办法所带的加密参数,而后该dll拜访cfg.ini,获得系统默许浏览器,末了用浏览器关上黑客构造所挟制的主页。

图为QQPCDetector.dll中的获得浏览器和解密导航url的函数(图3.3.1)

图为QQPCDetector.dll顶用浏览器关上导航主页(3.3.2)
4. 流传办法
该黑客构造流传本身木马的重要办法,便是本身开辟并保护一些热点游戏帮助,或许应用他们的专有对象二次打包一些热点帮助,这些游戏帮助中都有他们的云控设置设备摆设代码,具360网安数据中间监控到的数据,今朝曾经有30多种热点帮助携带该黑客构造的云控设置设备摆设。具体列表如下:

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载