网游木马

网游木马
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
“听说你爱我”网游盗号木马追踪 360安全卫士认证厂商2016-03-28共173886人围观 ，发现 10 个不明物体 终端安全
近期有玩家反映游戏遭木马盗号，并发现黑客就像阴魂不散一样随时都能控制电脑。根据网友反映的样本信息，360QVM团队进行分析，发现该木马以内存加载和恢复恶意代码的方式来躲避查杀，同时它还会开启3389端口并增加一个管理员帐户，使盗号者能够随时远程登录受害者电脑，即使木马被查杀也极易再次中招。

木马一共有四个文件，一个快捷方式，三个隐藏属性的文件，分别是一张图片，一个exe文件和dll文件，exe程序被加密：

1.jpg

2.PNG

可执行程序是隐藏的，打开快捷方式之后显示了一张图片：

3.jpg

但是木马程序已经在后台开始运行。分析快捷方式文件“12浓雾之息.lnk”，我们找到了一个文件名：

4.jpg

这是被快捷方式启动的木马程序，继续分析找到这个木马程序，它首先会调用命令行显示图片：

5.jpg

接着释放crossfire.exe文件和Release.dll文件到临时目录：

6.jpg

7.jpg

然后创建crossfire.exe进程：

8.jpg

crossfire.exe的主要功能是修改Release.dll的前两字节，并且在内存中加载Release.dll。

9.jpg

10.jpg

Release.dll经过修改之后，是一个加密的dll文件，

11.jpg

里面有木马的主要功能：

1、遍历检测杀毒进程

12.jpg

2、查找游戏相关的信息

13.jpg

3、获取键盘信息

14.jpg

15.jpg

4、联网下载文件

16.jpg

5、接受远程指令，开启3389，接受远程控制等

17.jpg

18.jpg

其中会判断3389是否开启，以及安全狗防护页面等

19.jpg

20.jpg

由于具备了完整的远控和盗号功能 ，根据远控的域名信息a19931108.com，进一步分析牧马人信息：

21.jpg

通过搜索1030889799@qq.com，我们找到了该QQ号的受害者以及牧马人的相关信息：
22.jpg

23.jpg

24.jpg

根据木马查杀数据，从2月初到3月，该盗号远控木马已活跃了一段时间，主要通过游戏平台和聊天软件文件传输进行传播。

在此提醒游戏玩家，电脑“文件夹选项”的设置一定要显示文件类型的扩展名，以免被木马文件的名称和图标迷惑；如果杀毒以后发现电脑反复感染病毒，建议使用安全软件“防黑加固”，防止远程端口被黑客控制利用。

* 作者：360安全卫士（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

360安全卫士
360安全卫士
207 篇文章
等级： 8级
||
上一篇：揭秘黑客是如何黑掉三星NX300智能相机的下一篇：应用Truecaller存在远程利用漏洞，影响一亿安卓设备
发表评论已有 10 条评论

xxxl (1级) 2016-03-28回复 1楼
额 666

亮了(0)

ibmcn 2016-03-28回复 2楼
尼玛，还能不能好好玩游戏了？

亮了(1)

killvirus (1级) 2016-03-28回复 3楼
如果杀毒以后发现电脑反复感染病毒，建议使用安全软件“防黑加固”，防止远程端口被黑客控制利用。

—360: 老子干不掉这个病毒，只好暂时给它断网了。。。

亮了(5)

仁者龙心 2016-03-28回复 4楼
[笑cry]"被爱"也成了一种伤害，“爱”这个概念也被某些人玩坏了

亮了(0)

Megabits 2016-03-28回复 5楼
3389，一个不搞安全相关的少年都很熟悉的一个远程控制端口[笑cry][笑cry]

亮了(1)

jxps 2016-03-28回复 6楼
官网挂了。。。。502

亮了(0)

Iridium_5621 2016-03-28回复 7楼
这玩意。。。见过好多次

亮了(0)

一只酒窝侠 2016-03-28回复 8楼
嗯你能稍微看一眼我和你说的话吗正经事。。。

亮了(0)

cf浩哥 2016-03-29回复 9楼
卧槽= =开3389 这是为了盗号吧 开不会吧用户电脑挤下去吗= =用意何在

亮了(0)

一只酒窝大魔王 2016-03-28回复 10楼
嗯你能稍微看一眼我和你说的话吗正经事。。。

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
360安全卫士
360安全卫士认证厂商

360安全卫士官方账号

207
文章数
10
评论数
最近文章
十张图看懂Windows平台挖矿木马攻击趋势
2018.11.09

远控木马盗用网易官方签名
2018.10.24

幽灵间谍：TrickBot新变种运用“无文件”技术发起攻击
2018.08.23

浏览更多
相关阅读
Drozer – Android APP安全评估工具（附测试案例）2016宏病毒分析及预防报告(1-2月)利用Hackrf进行GPS劫持实验流程攻略勒索病毒GlobeImposter攻防演练SlemBunk：以全球银行APP用户为目标的Android木马家族
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank