QQkey后门

今天凌晨收到@LX2222 的举报反馈被盗号
发布的加速器盗取账号信息
https://www.52pojie.cn/thread-785555-1-1.html

我们着手分析一下看看软件确实发现了问题，被添加了盗取QQkey的后门，通过拿到QQkey后任意操作QQ邮箱，来盗取Steam账号。

一：木马行为分析：
文件下载后发现大部分文件都带有网易的签名，只有ui.dll和uu_main.dll文件没有，经过分析ui.dll应该原版就有，只是被添加了一个区段，作用是引入一个导入表，自动加载uu_main.dll执行。

那问题就简单了，只需要判断uu_main.dll到底是安全的破解补丁还是盗号木马了？uu_main.dll本身加了VMP3的壳，关键代码也被虚拟化了，直接运行看看也没可以字符串，常规思路没有进展，那就变换思路继续看看，先让DLL在OD里跑起来看看有什么。

借助Wireshark（抓包工具）和SSM（主动防御工具）【爱盘都有下载】，可以看到程序请求多个网址和一个本地的请求（这点嫌疑最大，盗QQkey的都是本地请求）

上面的线索让我们关注到有几个网络请求，但字符串中也没看到网址，Wireshark看到的www.liuqiang6666.xyz:8080网址就很可疑，加上还有一个本地请求，我想看看代码到底是写的什么，字符串加密了？

直接在程序一些网络函数api下端，发现HttpSendRequestA可以中断，不看不知道，一看还真是访问本地QQkey的请求：

进一步验证了猜想，到这里就简单了，继续分析，看看QQ这个URL哪来的，之前并没搜到，通过分析，原来URL前半部分是加密存的，运行解密出来：

既然把字符串加密了，也找到了解密的地方，那就直接在解密的地方下个断点，看看都解密了啥东西，不出意外，解密的全是和盗号有关的信息（只贴部分，还有很多加密的未贴）：

http://www.liuqiang6666.xyz:
http://localhost.ptlogin2.qq.com:4300/pt_get_uins?callback=ptui_getuins_CB&r=0.7478418888058513&pt_local_tk=0.3858416392467916
TCP发信
360tray.exe
HipsMain.exe
火绒剑.exe

虽然木马把关键代码都VM掉了，我们依然可以从行为和部分代码进行分析判断出是盗号木马，如果我本机登录QQ，应该就可以触发到盗号发信的过程，后面就不演示了，欢迎大家跟进分析。

木马下载地址以及相关文件MD5：
hxxps://www.lanzous.com/i1k96ja （完整木马包）
uu_main.dll MD5: 57FC3BFE48069ECBA7F538CAC3EE55D1

二：木马防范

最近有很多人心生邪念，走入歧途，发布软件捆绑盗号木马，本帖中的木马已经从简单的捆绑走到了劫持加载，前段时间还看见有人直接添加区段，使用内存直接加载木马运行的，盗号手段也在日益更新，恰好论坛有来自各种安全公司的技术大牛，还有热爱安全的热心会员，在大家的帮助下我们可以第一时间发现危险并进行处理。（其实很多大家在没看到帖子的时候就已经在后台被管理发现处理，详见小黑屋。）

大家在使用程序时候建议安装安全软件，比如这个木马，360和QQ管家都能查杀（恩，第一时间我们就直接给官方推送查杀了），切忌使用的时候退出安全软件（木马才会说自己没毒，让你退出杀毒软件）。

Steam账号不建议使用QQ邮箱绑定，建议更换其他邮箱，如果非要用，QQ邮箱也应该加上一个独立密码（不太了解机制，是不是也没卵用？）。

如果你论坛账号使用QQ邮箱绑定了，建议登录设置安全验证问题！

最后如果你已经被盗或者使用过这个程序的，尽快修改QQ密码，并检查QQ邮箱设置中是否被设置转发规则等，防止再次被盗！

三：后话

虽然论坛有很多高手，但我们希望提高所有人的安全意识和识别能力，看上述我的分析，你是不是也想来试试？

大家对于新注册会员发布的内容请多加注意，有能力分析出问题的可以帮助我们尽快举报，大家合力保卫论坛安全。

想对那些心怀不轨的人说，你在吾爱破解这样的技术论坛玩这种小伎俩，分分钟就给你剥皮把肉看得清清楚楚了，这里都是活跃在互联网安全界的精英，任何小动作都是自讨苦吃，奉劝那些蠢蠢欲动的人，尽快走入正途，不要误入歧途！

最后感谢大家一直以来对吾爱破解论坛的支持和维护，论坛安全离不开大家监督，任何违法违规的行为都逃不过大家的眼睛和管理的审查，对待此类*渣论坛绝不手软，坚决处罚到底！