【木马分析】远控盗号木马伪装成850Game作恶

最新推荐文章于 2023-05-31 21:31:28 发布
最新推荐文章于 2023-05-31 21:31:28 发布
阅读量4.6k 收藏 2
点赞数

前言

近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下载。木马一旦入侵电脑,将盗用包括主机名、系统版本、磁盘信息、键盘操作信息等数据,并进一步实现窃取游戏账号及远程控制等恶意操作。

                                             

http://p0.qhimg.com/t01935b31387960159a.png

伪造的850Game钓鱼网站

木马伪装

木马制作者将木马程序和游戏棋牌程序捆绑在一起进行传播,当用户开始安装后,程序除了在“C:\Program Files”下安装850棋牌游戏外,还会在C盘目录下创建一个隐藏文件夹“$MSRecycle.Bin”,并在其中释放木马程序并将其执行起来。有了正常安装程序做“伪装”,该盗号木马可以在用户毫不知情的情况下侵入电脑。

http://p2.qhimg.com/t0133130f7528219d93.png

   

http://p1.qhimg.com/t01b99c9a29b285469d.png

木马分析

“$MSRecycle.Bin”目录下的“TsiService.exe”执行后,会读取同目录下的“xp.ios”进行解密再通过加载到内存中执行。

http://p3.qhimg.com/t01d31a1d4080730b0a.png

http://p3.qhimg.com/t0133afdb8222700232.png

通过解密算法对“$MSRecycle.Bin”目录下“xp.ios”进行解密,我们就能得到木马程序。

http://p6.qhimg.com/t01db24c1f1cd6322d2.png

   解密前 

http://p7.qhimg.com/t0191eca67567e3fadd.png

解密后

遍历进程,检测杀软


http://p3.qhimg.com/t01ee59fd90ecd05370.png

连接CC地址:www.gam564.com,端口为19999

http://p4.qhimg.com/t018b1366d331d40ba2.png

http://p6.qhimg.com/t017c4a20da868f5ef9.png

获取用户信息

http://p9.qhimg.com/t014edebe39682395e4.png

获取主机名

http://p6.qhimg.com/t01d830d1c6bb1347b1.png

获取系统版本

通过cmd命令创建guest用户,并提升权限置管理员

http://p9.qhimg.com/t01dd63b45cafd68d24.png

通过将$MSRecycle.Bin”目录下的MicroRecycle.dll添加到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ras\AdminDll\dllpath中实现开机启动

http://p7.qhimg.com/t01bf868cdccf256678.png

http://p7.qhimg.com/t01c9dfbf6f233714a2.png

获取键盘信息

http://p3.qhimg.com/t011b1da94f450946d4.png

除了上面描述的行为外,程序还会开启计算机3389端口、远程接受命令、创建用户等等行为,这里就不再赘述了。

考虑到最近有大量用户反馈遇到很多这样伪装成棋牌游戏的站点,我们对上述伪造棋牌游戏的木马涉及的域名信息(gam850.com)继续进行追查,我们得到了该域名的所有者的名称和联系邮箱。

http://p8.qhimg.com/t01c54a19a141845587.png

通过查询该邮箱进行邮件反查,得到这个邮箱关联的两个域名。

http://p4.qhimg.com/t01442d5c2c50f8c37c.png

http://p2.qhimg.com/t016763561af95e4da0.png

   而993game.com同样也是一个伪装成棋牌游戏的网站,下载的电脑版的游戏大厅程序也是一个木马程序,功能与gam850.com中的木马程序差不多,就不再重复了。整理前面获取域名的信息,我们将两个域名进行简单的关联:

http://p6.qhimg.com/t01ea18c1038b2cc62b.png

在后续的样本分析过程中,又发现一些网站同样是通过伪造成game850棋牌游戏进行传播木马程序,域名如下表:

http://p6.qhimg.com/t0138fa7d0ade09ddee.png

http://p6.qhimg.com/t01dd8c0294ac1b761c.png

    

从gamebb.tw下载的850lobby.exe这个伪装成棋牌游戏的程序,它在执行安装的过程中会先在临时目录中创建正常的game850游戏安装包并将其执行,给用户一种程序正在正常安装的假象。

其实,它在后续的过程中会在C:\\WINDOWS下释放一个木马程序,随后再利用创建的vbs脚本将自身删除。木马的主要主要行为:

连接CC地址:wuu.us

http://p0.qhimg.com/t0133c9895917bc540b.png

拷贝自身到C:\\WINDOWS目录,文件名为随机的6个字母。

http://p6.qhimg.com/t010a4c97020772dd58.png

添加DirectX服务项实现开机自启动,达到常驻受害者电脑的目的

http://p2.qhimg.com/t0189e78c34f607dcac.png

创建vbs脚本将执行程序自身删除

http://p7.qhimg.com/t01a4de0ba912c4cd27.png

遍历进程,检测杀软程序

联网下载文件

http://p1.qhimg.com/t01edca68001b6d4033.png

获取用户信息(主机名、系统版本、磁盘信息、用户名、CPU信息等等)

开启3389端口、键盘记录、远程接受命令、创建用户等等

同样的,我们也对by850.com下载的850lobby.exe进行了简单的分析,这个伪装棋牌游戏的木马程序主要行为有:

将植入远控木马的时间存到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FSkcia msmaowaw中的MarkTime

http://p4.qhimg.com/t013fd48c97e0a54e44.png

通过在115.28.72.212:8080上下载正常的850棋牌游戏到C盘目录下并执行,伪造程序正在正常安装的假象。

http://p1.qhimg.com/t01f37c325be1641761.png

将木马程序自身添加到启动文件夹中,实现开机自启

http://p7.qhimg.com/t015d16ab95784de186.png

连接CC地址:www88369.com

http://p7.qhimg.com/t01a4fe4a6dd498c84d.png

遍历进程,检测杀软

获取用户信息(主机名、系统版本、磁盘信息、用户名、CPU信息等等)

开启3389端口、键盘记录、远程接受命令、创建用户等等

继续对这两个木马程序访问的两个CC地址进行追查得到这两个域名的注册人和注册邮箱信息。

http://p0.qhimg.com/t0103600ab148958731.png

http://p4.qhimg.com/t012cd3bfd54ecf38da.png

而从木马的主要行为来看,这些伪造棋牌游戏的木马都比较相似,猜测这批伪装成850棋牌游戏网站的站点背后的操作者很有可能是同一伙人。


传播方式

由分析可知,这一批木马程序都是通过伪装成棋牌游戏进程传播木马,现将这一批伪装成棋牌游戏的网站整理如下:

http://p1.qhimg.com/t0162b02364cb1759f2.png

通过查询域名持有者的邮箱信息,整理得到这一批伪装成棋牌游戏网站的域名持有者邮箱信息如下:

http://p1.qhimg.com/t01d1c91006861fe5f6.png

通过整篇分析下来,我们发现这些伪造成棋牌游戏的木马所涉及的技术相当普通。它们只不过是幕后的那些操作者通过注册与正规棋牌游戏域名相似的域名,并将木马与棋牌游戏捆绑在一起上传到伪装成棋牌游戏的站点上诱骗用户下载。

https://i-blog.csdnimg.cn/blog_migrate/95cedd2ca18624d88abc8699c8ff7132.png

最后提醒广大用户,在上网时切勿轻易点击来历不明的邮件附件、网页链接以及推广广告等,同时要做好安全防护措施,不要轻易透露个人信息,切实提高防范意识和自防能力,避免造成不必要的损失。

本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/3054.html

nani1114
关注
H-WORM家族远控木马分析与处置
不忘初心,护天下安全!
08-15 2812
首先通过读取注册表项+脚本名,判断当前系统是否已感染,接着将目标文件放入注册表项"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\"和"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\"中实现自启动。H-WORM作者ID为Houdini,使用VBS编写以实现远控蠕虫功能,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月。...
php木马伪装成图片,木马伪装图片运行的技巧
weixin_39916681的博客
03-23 1698
任意文件当做木马来运行你见过gif、jpg、jpeg、bmp等后缀文件当做木马来运行吗?一个小技巧可以把任意后缀文件当做EXE程序文件来运行。更改exe为gif:@echo offcolor 1AECHO Windows Registry Editor Version 5.00>gif.regECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]&gt...
经典的850棋牌游戏搭建教学
yuebai108的博客
03-24 2209
这款850坏境是 windows 2008 r2 iis7.5 net.4.0 sql2014. 坏境搭建好,我们就可以创建数据库了 数据库导入完以后,修改自己ip 和账号密码,和机器码。全部弄好就是打脚本了,脚本全部打。跟着我操作就行。 接下来就是修改服务端的IP,把IP ,和数据库账号密码改成你自己的。修改好保存就行。 在下来修改网站 前台和后台的web找到我截图的位置 还是修改自己的数...
木马病毒的伪装方式,使得我们在上网的过程中,更容易中招!
weixin_44935794的博客
11-26 1118
目录 伪装方式 1、修改图标 2、捆绑文件 3、出错显示 伪装方式 鉴于木马病毒的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。 1、修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这...
ThrottleStop_850
03-18
ThrottleStop 8.50版本是Intel Core 2和Core i系列CPU的性能监视和修改工具。它可能以“不计代价”的方式最大化发挥CPU的性能,并允许系统忽视温度的影响。
26种病毒的解决
小濯
11-10 1736
1. 冰河v1.1 v2.2 这是国产最好的木马 作者:黄鑫 清除木马v1.1 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 查找以下的两个路径,并删除 " C:/windows/system/ kernel32.exe" " C:/windows/system/ sysex
Codeforces 850C - Arpa and a game with Mojtaba
weixin_34248023的博客
09-29 220
850C - Arpa and a game with Mojtaba 题意 两个人玩游戏。初始给出一些数字,每次操作要求选择两个数 \((p,k)\) 使得 \(p^k\) 是某个数的因子,其中 \(p\) 是素数,\(k\) 是正整数。然后将所有包含这个因子的数除去这个因子,谁不能操作谁输。 分析 博弈问题。 注意到素数之间是无关联的,所以单独考虑每一个素数即可。对每一个素数计算\(sg\)值...
木马伪装“刷单任务” 劫持QQ语音暗中盗号
Coisini的博客
06-12 2420
近日,360 QVM团队发现一类QQ盗号木马异常活跃。该木马通过QQ语音(QTalk)在网购刷单人群中大肆传播,并劫持Qtalk的文件隐蔽运行,通过弹出虚假的QQ语音登录框实施盗号。 此木马限于QTalk用户之间传播,淘宝刷单者常“驻扎”在QQ语音的房间内,等待接单。而不法分子则伪装为淘宝卖家,与刷单者加为QQ好友,并向其发送由木马伪装的“刷单任务”,伺机窃取刷单人群的QQ账号和密码。 360...
远控木马分析(实习生)
heikezhishi的博客
08-19 918
病毒来源:朋友服务器发现此木马 当时为了提样本搞了很久,一直找恢复文件,对提取样本有研究的朋友还请指导指导。 文件名:vister.exe MD5:30866adc2976704bca0f051b5474a1ee 此处创建了一个进程 申明了一个2800大小的Space.buffer 并将地址mov到5123EA08 导入win32 api创建了文件,继续走。 Loadlibrary加载了msvcrt.dll,获取memcpy的函数地址。 ...
linux中隐藏得木马程序,Linux远控分析
weixin_28938701的博客
05-01 1210
0x1 前言在国内,Linux操作系统以一般运用于服务器及相关后台,个人用户相对较少,因此Linux平台的木马病毒数量也远远不及Windows平台,其变种数量以及变化速度也比不上Windows平台。但Linux平台下的木马病毒有个非常显著的特点,就是不必与安全软件进行过多的对抗,因此导致其攻击手段的针对性极强,攻击面相当集中。以本文分析的样本为例,该样本为一远控木马,但不同于Windows下的远控...
GAN领域论文大集合
weixin_43489950的博客
11-05 577
参考博客 https://www.cntofu.com/book/85/dl/gan/gan.md
某棋牌站点简单渗透
m0_59757868的博客
03-27 2957
前几天无意看到了某个师傅的博客,就看到了某棋牌站点的sql注入,于是花了几分钟打了一下,也就当第一次打这种站点,过程非常简单,最后也是获取到了数据库密码,网站后台密码。sql注入:该站点如果有师傅打过,肯定有感觉的。登录框这里存在sql注入,sqlmap跑一下。但是这里只是一个延时注入,是dba权限这里就不执行os-shell了,太慢了,直接利用xp_cmdshell执行命令xp_cmdshell上线:开启xp_cmdshell:admin';--执行命令判断出网:admin';
2023线上ISCC 部分WP
最新发布
DDD_Simple的博客
05-31 4745
通过网址打开游戏界面,发现鼠标右键失灵,无法直接打开页面源代码。随意打开一个已知页面的源代码,发现有view-source:字样,在游戏界面的网址前加上view-sourc:打开页面源代码。发现一串字符使用base64加密解密后是个假的flag有两个可打开文件,flag肯定在这两个中打开index.css文件未发现任何东西故接着打开另一个vue.global.js文件,文件内容很多,快捷键Ctrl+F全局搜索,发现base64字符串经过两次base64解密得到正确的flag。
渗透某德棋牌游戏
热门推荐
weixin_43639741的博客
05-20 1万+
声明 本文章纯属虚构,如有雷同不胜荣幸,文中一切观点,纯属于作者瞎想与作者本人无关,大牛误喷,不带节奏谢谢!愿互相帮助共同进步 一直找不到目标站点,昨天下午收到的一条微信之后突然有了目标 还是老规则 下载了APP 这里提示下注意事项 因为这种APP是自动采用微信账号登录 且苹果手机登录前需要申请数据网络权限 所以在进行抓包前 需要先点开APP给予数据网络权限并提前登录微信账号(设置代理之后无法...
手机java游戏下载网站
m0_67401055的博客
08-29 1万+
玩家个人站http://www.11ou.com/jgame。UC游戏中心http://wap.9game.cn。懒得码代码了,直接把链接放这里。QQ空间,用的就是游戏苟的源。
Nokia n97详解
skiptheworld的专栏
01-12 2371
诺基亚N97诺基亚N97概述诺基亚N97是诺基亚公司于2009年推出的采用Symbian 9.4 S60 5.0操作系统的3G智能手机。本机采用滑盖设计有较大的屏幕和强大的硬件配置。 手机介绍  Nseries系列的第一款触控手机——Nokia N97。  类别:高端机  上市时间2008年12月2日  上市地点:巴塞罗那   首款Nseries
2019上海网络赛 J stone game
binarycopycode
09-16 446
https://nanti.jisuanke.com/t/41420 遇见一道有趣的背包题 我们从大到小枚举,为了避免重复,我们需要将当前枚举到的a[i]设为必选,大于a[i]的为可选可不选,小于a[i]的不能选,然后看这时的方案数是多少。由于要满足1号2号条件,我们已经知道了我当前的石头最小重量为a[i],那么可以计算出 s' 集合的重量下界和上界,那么我们用01背包的方式统计方案数,当枚举...
关于移动硬盘的$recycle.bin病毒的处理方法
weixin_34072458的博客
03-08 1万+
我有个朋友的移动硬盘中了毒,然后叫我帮他看一下,情况是这样的: 他的移动硬盘中所有的数据都没有丢失,只是没有办法显示,打开移动硬盘之后只有一个$RECYCLE.BIN的文件夹,再打开该文件夹,就只有两个回收站的图标,但是打不开。据我同学的说法是在地址栏中输入例如L:/abc/abc之类的地址时,是可以看到的,但是我没有试过,我怕我的电脑中毒,所以我没有双击、右键...
“大灰狼”远控木马分析及幕后真凶调查
liujiayu2的专栏
10-24 1万+
9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序。 鉴于bt天堂电影下载网站访问量巨大,此次挂马事件受害者甚众,360QVM引擎团队专门针对该木马进行严密监控,并对其幕后真凶进行了深入调查。 一、“大灰狼”的伪装 以下是10月30日一天内大灰狼远
模糊层次分析木马攻击效果评估中的应用研究
"基于模糊层次分析木马攻击效果评估技术研究" 本文主要探讨了在网络攻击效果评估领域中,针对木马病毒的特定性分析及评估方法的缺失问题。传统的网络攻击效果评估系统主要关注DDoS(分布式拒绝服务)攻击和蠕虫...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值