qq飞车外挂网站

qq飞车外挂网站
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
伪装QQ飞车外挂的“MBR锁”木马分析 360安全卫士认证厂商2017-02-24共240995人围观 ，发现 20 个不明物体 系统安全
0×1 前言
在过完年开工之际，黑产从业者也回到了他们的工作岗位上，在短短的一周内，相继爆发了“纵情”敲诈者以及伪装QQ飞车外挂的“MBR”敲诈者两款国产敲诈者木马。

国产敲诈者在敲诈金额，技术手段以及加密方式上都远远落后于国外的敲诈者木马，但国产敲诈者的最大优点就是能把握住卖点，比如以游戏外挂作为噱头。除此之外，国产敲诈者还喜欢诱导用户关闭杀软以达到所谓的“最佳体验”。可以说，国产敲诈者胜在了“套路”。

本文分析的国产敲诈者即为伪造QQ飞车外挂的“MBR”敲诈者。据受害者称，想使用该QQ飞车外挂软件就必须输入注册码，在向某群管理员索取注册码并输入注册后，计算机立即并被锁住，要求添加一QQ号（3489709452）获取解锁密码。受害计算机如下图所示。

1.png

图1 受害计算机界面

可见，计算机并未正常启动，受害者遭遇的就是常见的“MBR”锁。

0×2 样本分析
回到最初的QQ飞车外挂，外挂界面很常见，需要输入注册码才能正常使用。

2.png

图2 外挂界面

细观该外挂界面，发现其和某盾加密处理后的程序界面相似，遍历字符串也能发现一些与某盾加密相关的字符串。因此可以断定该外挂软件使用某盾加密保护，使用者只有输入正确的注册码才能获得相应的功能。由于某盾加密强度高，在不持有密码的情况下很难对受保护的软件进行破解，这也导致外挂使用者需要找管理员要开启密码的情况。急切渴望使用外挂的受害者们在得到开启密码一定是欣喜若狂的，他们一定不知道开启后才是噩梦的开始。

前面提到了某盾加密“在不持有密码的情况下很难对受保护的软件进行破解”，之所以提及“不持有密码的情况下”，是因为即使在拥有密码的情况下，某盾加密对程序的保护也比较特殊。在本例中，进程会在同目录下创建一个名为“飞车通杀辅助VIP2.exe”的程序，并调用ShellExecute函数运行该程序。

3.png

图3 运行“飞车通杀辅助VIP2.exe”

但实际上，在磁盘中，也就是该路径下并不存在这个文件。这也是某盾加密为了防止加密视频播放时被提取而采取的策略。某盾加密会调用自身SDK中名为“CreateVirtualFileA”的函数在内存中创建文件，而不是直接让文件“落地”，这其实也稍微加大了分析的难度，分析者必须对程序进行patch以使创建的文件“落地”。

patch的位置即“CreateVirtualFileA”函数。根据某盾加密逻辑，程序会首先调用“CreateVirtualFileA”函数创建虚拟文件，然后使用WriteFile函数将解密后的数据写入文件。使用CreateFile函数patch掉“CreateVirtualFileA”可使文件落地。如图所示。

4.png

图4 patch前

5.png

图5 patch后

对程序进行patch后，执行MBR修改功能的敲诈者主体就“落地”了。

6.png

图6 “落地”的恶意程序

该程序也是一款定制的程序，可以看出作者只是将一些定制的模块拼接起来构成一个敲诈者木马。从字符串中可以看出，定制者可以自定义MBR加密的密码以及显示在屏幕上的文字。

7.png

图7 表示可以自定义定制的字符串

之后就是常规的锁MBR流程，打开磁盘0并读取前512字节，也就是主引导记录。

8.png

图8 打开磁盘0

9.png

图9 读取主引导记录

之后程序会将原本的主引导代码保存到磁盘0偏移0×400起始的位置，该位置是磁盘0的第三扇区。此举用于备份初始的MBR代码，当受害者输入正确的密码之后，就会将备份的MBR代码恢复到第一扇区中，以保证系统能够正常启动。

10.png

图10 设置偏移

11.png

图11 备份最初的MBR代码

之后程序就会修改主引导记录，修改后的主引导记录如下图所示。

12.png

图12 被篡改的MBR代码

反汇编MBR代码可以看到密码比较的流程以及之后的处理流程。首先通过int 16h中断获取用户输入，并将存储输入结果。

13.png

图13 获取并存储输入

14.png

图14 比较输入与密码

通过查看存放密码的地址可以发现密码为“ O0 ” （即空格，大写字母O，数字0，空格）。在比对成功之后，将通过int 13h中断读取存储在第3扇区的最初的MBR代码并将其写入到第1扇区，以恢复系统的正常使用。

15.png

图15 恢复MBR

0×3 总结
通过该样本可以看出，国产敲诈者在技术上并不高深，而且习惯于拼接各种软件或模块，以达到其恶意目的。这些模块虽然互相独立且功能有限，但经过组合之后成为一个功能强大且自保能力强的恶意软件。而这些国产敲诈者也牢牢抓住一些特定用户的注意力，披着外挂的外衣干这坏事，让人措手不及。对于陌生的软件，用户应该慎点，在中毒后也被轻易添加qq交付赎金，应向杀软方面进行及时的反馈以恢复系统的使用。

*本文作者：360安全卫士（企业帐号），转载请注明来自FreeBuf.COM

360安全卫士
360安全卫士
208 篇文章
等级： 8级
||
上一篇：Python与Java曝漏洞，黑客利用FTP注入攻击可绕过防火墙下一篇：窃听乌克兰超70家机构的Operation BugDrop行动分析：幕后黑客高度组织化、经济实力雄厚
这些评论亮了

360安全卫士 回复
“MBR锁”是新近出现的一类国产敲诈者病毒。它的技术并不高超，只是拼接各种现成的软件或模块，但它会伪装外挂迷惑用户关闭安全软件，反而比国外敲诈者更有杀伤力。360安全卫士率先发现并拦截“MBR锁”病毒，请用户不要冒险使用此类带毒外挂！
)9(亮了
发表评论已有 20 条评论

360安全卫士 2017-02-24回复 1楼
“MBR锁”是新近出现的一类国产敲诈者病毒。它的技术并不高超，只是拼接各种现成的软件或模块，但它会伪装外挂迷惑用户关闭安全软件，反而比国外敲诈者更有杀伤力。360安全卫士率先发现并拦截“MBR锁”病毒，请用户不要冒险使用此类带毒外挂！

亮了(9)

He1en 2017-02-24回复 2楼
我记得吾爱有篇文章和这差不多 用的方法也一样一样的 这样没意思

http://www.52pojie.cn/thread-580529-1-1.html

亮了(3)

1111111 2017-08-15回复
@ He1en www.expbug.com

亮了(0)

。。。 2017-02-24回复 3楼
应向杀软方面进行及时的反馈以恢复系统的使用。。。。。

亮了(4)

Tesi1a 2017-02-24回复 4楼
广告打得好[喵喵]

亮了(5)

長門有希Nagatoyuki 2017-02-24回复 5楼
用挂活该咯，破坏其他玩家游戏体验。

亮了(4)

摩羯_狼 2017-02-24回复 6楼
厉害了……good

亮了(5)

左天官 2017-02-24回复 7楼
飞车刚被点了哈哈哈 “MBR锁”是新近出现的一类国产敲诈者病毒。它的技术并不高超，只是拼接各种现成的软件或模块，但它会伪装外挂迷惑用户关闭安全软件，反而比国外敲诈者更有杀伤力。360安全卫士率先发现并拦截“MBR锁”病毒，请用户不要冒险使用此类带毒外挂！

亮了(3)

Naomhan 2017-02-24回复 8楼
飞天 锁人

亮了(4)

不存在的 2017-02-25回复 9楼
难怪易语言这么毒瘤，毕竟有这么多国内病毒木马都用它写的

亮了(4)

春宝 2017-02-25回复 10楼
能从玩这游戏的人里勒索到啥？[摊手]

亮了(1)

popu111 (1级) 一只高中小辣鸡，向众位初中大黑阔低头 2017-02-25回复 11楼
老毒了,至少大半年之前就有看到过了

亮了(0)

联邦屌插菊 2017-02-25回复 12楼
中国勒索软件在怎么6，始终联系方式会留下QQ小号，抓你很容易，国外老司机联系方式是暗网根比特币支付，很难抓，中国始终小学生还是多

亮了(2)

aa 2017-02-25回复 13楼
trojian-orinted programming -E language

亮了(1)

GHOST820 (1级) 2017-02-25回复 14楼
某刀可能要火

亮了(1)

东季山人 2017-02-26回复 15楼
小孩玩手机容易误播电话，怎样能把拨号、联系人加锁。360有没有相关功能软件

亮了(1)

夜雾 2018-05-05回复
@ 东季山人 他还只是个孩子啊 打打电话怎么了

亮了(0)

木昜艹右禺心 2017-02-26回复 16楼
6666

亮了(1)

Icebreaker (1级) 2017-03-01回复 17楼
我是飞车忠实玩家呀。不明觉厉

亮了(1)

金山毒霸团队 (1级) 金山毒霸（Kingsoft Antivirus）是中国的反病... 2017-03-02回复 18楼
最强的外挂其实是’RMB’，这是马总偷偷告诉我的，＠马化腾

亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
360安全卫士
360安全卫士认证厂商

360安全卫士官方账号

208
文章数
10
评论数
最近文章
恶性木马下载器“幽虫”分析
2018.11.19

十张图看懂Windows平台挖矿木马攻击趋势
2018.11.09

远控木马盗用网易官方签名
2018.10.24

浏览更多
相关阅读
13年前的安全配置缺陷仍影响着目前多数SAP系统过期签名“红颜”木马分析Windows10系统的控制流防护机制初窥POSIX shell技巧分享篇Mac平台新型蠕虫病毒曝光
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank