今天凌晨收到@LX2222 的举报反馈被盗号
发布的加速器盗取账号信息
https://www.52pojie.cn/thread-785555-1-1.html
我们着手分析一下看看软件确实发现了问题,被添加了盗取QQkey的后门,通过拿到QQkey后任意操作QQ邮箱,来盗取Steam账号。
一:木马行为分析:
文件下载后发现大部分文件都带有网易的签名,只有ui.dll和uu_main.dll文件没有,经过分析ui.dll应该原版就有,只是被添加了一个区段,作用是引入一个导入表,自动加载uu_main.dll执行。
那问题就简单了,只需要判断uu_main.dll到底是安全的破解补丁还是盗号木马了?uu_main.dll本身加了VMP3的壳,关键代码也被虚拟化了,直接运行看看也没可以字符串,常规思路没有进展,那就变换思路继续看看,先让DLL在OD里跑起来看看有什么。
借助Wireshark(抓包工具)和SSM(主动防御工具)【爱盘都有下载】,可以看到程序请求多个网址和一个本地的请求(这点嫌疑最大,盗QQkey的都是本地请求)
上面的线索让我们关注到有几个网络请求,但字符串中也没看到网址,Wireshark看到的www.liuqiang6666.xyz:8080网址就很可疑,加上还有一个本地请求,我想看看代码到底是写的什么,字符串加密了?
直接在程序一些网络函数api下端,发现HttpSendRequestA可以中断,不看不知道,一看还真是访问本地QQkey的请求:
进一步验证了猜想,到这里就简单了,继续分析,看看QQ这个URL哪来的,之前并没搜到,通过分析,原来URL前半部分是加密存的,运行解密出来:
既然把字符串加密了,也找到了解密的地方,那就直接在解密的地方下个断点,看看都解密了啥东西,不出意外,解密的全是和盗号有关的信息(只贴部分,还有很多加密的未贴):
http://www.liuqiang6666.xyz:
http://localhost.ptlogin2.qq.com:4300/pt_get_uins?callback=ptui_getuins_CB&r=0.7478418888058513&pt_local_tk=0.3858416392467916
TCP发信
360tray.exe
HipsMain.exe
火绒剑.exe
虽然木马把关键代码都VM掉了,我们依然可以从行为和部分代码进行分析判断出是盗号木马,如果我本机登录QQ,应该就可以触发到盗号发信的过程,后面就不演示了,欢迎大家跟进分析。
木马下载地址以及相关文件MD5:
hxxps://www.lanzous.com/i1k96ja (完整木马包)
uu_main.dll MD5: 57FC3BFE48069ECBA7F538CAC3EE55D1
二:木马防范
最近有很多人心生邪念,走入歧途,发布软件捆绑盗号木马,本帖中的木马已经从简单的捆绑走到了劫持加载,前段时间还看见有人直接添加区段,使用内存直接加载木马运行的,盗号手段也在日益更新,恰好论坛有来自各种安全公司的技术大牛,还有热爱安全的热心会员,在大家的帮助下我们可以第一时间发现危险并进行处理。(其实很多大家在没看到帖子的时候就已经在后台被管理发现处理,详见小黑屋。)
大家在使用程序时候建议安装安全软件,比如这个木马,360和QQ管家都能查杀(恩,第一时间我们就直接给官方推送查杀了),切忌使用的时候退出安全软件(木马才会说自己没毒,让你退出杀毒软件)。
Steam账号不建议使用QQ邮箱绑定,建议更换其他邮箱,如果非要用,QQ邮箱也应该加上一个独立密码(不太了解机制,是不是也没卵用?)。
如果你论坛账号使用QQ邮箱绑定了,建议登录设置安全验证问题!
最后如果你已经被盗或者使用过这个程序的,尽快修改QQ密码,并检查QQ邮箱设置中是否被设置转发规则等,防止再次被盗!
三:后话
虽然论坛有很多高手,但我们希望提高所有人的安全意识和识别能力,看上述我的分析,你是不是也想来试试?
大家对于新注册会员发布的内容请多加注意,有能力分析出问题的可以帮助我们尽快举报,大家合力保卫论坛安全。
想对那些心怀不轨的人说,你在吾爱破解这样的技术论坛玩这种小伎俩,分分钟就给你剥皮把肉看得清清楚楚了,这里都是活跃在互联网安全界的精英,任何小动作都是自讨苦吃,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!
最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!