欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对某款游戏盗号病毒木马简要研究专题分析

来源:本站整理 作者:佚名 时间:2017-09-29 TAG: 我要投稿

最近,360CERT网安研究员从用户反馈渠道了解到一个正在运动的恶意病毒木马样本,经阐发,确认该样本是一枚应用正轨厂商署名文件启动的木马样本,试图盗取游戏用户的虚构产业。
今朝,“360网安卫士”曾经能对该样本停止精确的查杀。
0x01 IOC
a271095831.e2.luyouxia.net:30903      C&C办事器端口映照地点
08f67675f146793e2853c439a8132195   报价表.pif
ee431a681d3ebf52a041d1919bbec425   setup.ini
7281d5a6d720abe4ac361086029c91a6   123.bin
bf6c63025ac591ac478d0aa08dab9d73   1.ini
ba2cf7d2d09ae9a29445704bd1b4f67b   baijia.pif
32ea6c0d495bc283e2dbed7404cb0de2   e.jpg
2be79d658d005a33e92e64cfd27fd665   inject scvhost.dll
e12f3db80202aae839de79881a5f0203   scvhost.exe
6ef674e8148e499b20c5f6ee065d16da   baijia.exe (包括有用正轨厂商数字署名)
68f836fe094d3401fdee939d45f9c8cc    Common.dll

 
0x02 阐发部门
1、启动部门流程图
 

2、样本启动部门阐发
setup.exe与NirCmd.exe被修改成报价表.pif和baijia.pif,从而引诱用户手动运转并履行如下操纵:
将主文件复制到C盘SYSWindows目次并给体系增加启动项(因为该文件带有正轨厂商署名,大多数杀软会依据白名单机制误认为正当法式而放行),而后运转主法式
把C:\SYSWindows\ 一切文件及文件夹属性设置为体系文件并暗藏

3、Loader部门
经由过程Common.dll的导出函数TXBugReport::InitBugReport履行Loader
其余两个导出函数并没有现实功效

解密123.bin并创立svchost.exe(创立后立刻挂起)过程,并将解密后的Code写入傀儡过程.

给svchost.exe设置线程上下文,并规复过程运转.
 

4、重要恶意病毒木马代码部门
衔接C&C办事器

获得前台窗口题目与体系光阴并记载键盘输出保存在体系目次的Forshare.key
 

创立虚构桌面,能够在用户不知情的情况下登岸用户电脑干任何事, 笔者预测该功效是为了回避游戏公司对游戏账号的产业网安掩护战略而设立
 

获得以后用户正在运转的杀毒软件
 

监听端口并接管履行C&C办事器下发的敕令

如下为部门远控功效
 

该木马含有灌音的功效
 

5、收集部门
经阐发 *.luyouxia.net 域名为某端口映照办事提供商产物所用, 盗号者使用了该产物作了一个当地对外网的端口映照。
近期该域名的收集态势
 

注:该图来自360收集网安研究院
经由过程从该端口映照办事提供商民间了解到其产物URL规则为:用户名.路线地点:端口。末了经由过程盗号者域名确认其使用者为用户名为a271095831的用户。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载