专栏首页FreeBuf远控盗号木马伪装成850Game作恶

远控盗号木马伪装成850Game作恶

前言

近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下载。

木马一旦入侵电脑,将盗用包括主机名、系统版本、磁盘信息、键盘操作信息等数据,并进一步实现窃取游戏账号及远程控制等恶意操作。

伪造的850Game钓鱼网站

木马伪装

木马制作者将木马程序和游戏棋牌程序捆绑在一起进行传播,当用户开始安装后,程序除了在“C:\Program Files”下安装850棋牌游戏外,还会在C盘目录下创建一个隐藏文件夹“$MSRecycle.Bin”,并在其中释放木马程序并将其执行起来。

有了正常安装程序做“伪装”,该盗号木马可以在用户毫不知情的情况下侵入电脑。

木马分析

“$MSRecycle.Bin”目录下的“TsiService.exe”执行后,会读取同目录下的“xp.ios”进行解密再通过加载到内存中执行。

通过解密算法对“$MSRecycle.Bin”目录下“xp.ios”进行解密,我们就能得到木马程序。

解密前

解密后

遍历进程,检测杀软

连接CC地址:www.gam564.com,端口为19999

获取用户信息

获取主机名

获取系统版本

通过cmd命令创建guest用户,并提升权限置管理员

通过将$MSRecycle.Bin”目录下的MicroRecycle.dll添加到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ras\AdminDll\dllpath中实现开机启动

获取键盘信息

除了上面描述的行为外,程序还会开启计算机3389端口、远程接受命令、创建用户等等行为,这里就不再赘述了。

考虑到最近有大量用户反馈遇到很多这样伪装成棋牌游戏的站点,我们对上述伪造棋牌游戏的木马涉及的域名信息(gam850.com)继续进行追查,我们得到了该域名的所有者的名称和联系邮箱。

通过查询该邮箱进行邮件反查,得到这个邮箱关联的两个域名。

而993game.com同样也是一个伪装成棋牌游戏的网站,下载的电脑版的游戏大厅程序也是一个木马程序,功能与gam850.com中的木马程序差不多,就不再重复了。整理前面获取域名的信息,我们将两个域名进行简单的关联:

在后续的样本分析过程中,又发现一些网站同样是通过伪造成game850棋牌游戏进行传播木马程序,域名如下表:

从gamebb.tw下载的850lobby.exe这个伪装成棋牌游戏的程序,它在执行安装的过程中会先在临时目录中创建正常的game850游戏安装包并将其执行,给用户一种程序正在正常安装的假象。

其实,它在后续的过程中会在C:\\WINDOWS下释放一个木马程序,随后再利用创建的vbs脚本将自身删除。木马的主要主要行为:

连接CC地址:wuu.us

拷贝自身到C:\\WINDOWS目录,文件名为随机的6个字母。

添加DirectX服务项实现开机自启动,达到常驻受害者电脑的目的

创建vbs脚本将执行程序自身删除

遍历进程,检测杀软程序

联网下载文件

获取用户信息(主机名、系统版本、磁盘信息、用户名、CPU信息等等)

开启3389端口、键盘记录、远程接受命令、创建用户等等

同样的,我们也对by850.com下载的850lobby.exe进行了简单的分析,这个伪装棋牌游戏的木马程序主要行为有:

将植入远控木马的时间存到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FSkcia msmaowaw中的MarkTime

通过在115.28.72.212:8080上下载正常的850棋牌游戏到C盘目录下并执行,伪造程序正在正常安装的假象。

将木马程序自身添加到启动文件夹中,实现开机自启

连接CC地址:www88369.com

遍历进程,检测杀软 获取用户信息(主机名、系统版本、磁盘信息、用户名、CPU信息等等) 开启3389端口、键盘记录、远程接受命令、创建用户等等

继续对这两个木马程序访问的两个CC地址进行追查得到这两个域名的注册人和注册邮箱信息。

而从木马的主要行为来看,这些伪造棋牌游戏的木马都比较相似,猜测这批伪装成850棋牌游戏网站的站点背后的操作者很有可能是同一伙人。

传播方式

由分析可知,这一批木马程序都是通过伪装成棋牌游戏进程传播木马,现将这一批伪装成棋牌游戏的网站整理如下:

通过查询域名持有者的邮箱信息,整理得到这一批伪装成棋牌游戏网站的域名持有者邮箱信息如下:

通过整篇分析下来,我们发现这些伪造成棋牌游戏的木马所涉及的技术相当普通。它们只不过是幕后的那些操作者通过注册与正规棋牌游戏域名相似的域名,并将木马与棋牌游戏捆绑在一起上传到伪装成棋牌游戏的站点上诱骗用户下载。

最后提醒广大用户,在上网时切勿轻易点击来历不明的邮件附件、网页链接以及推广广告等,同时要做好安全防护措施,不要轻易透露个人信息,切实提高防范意识和自防能力,避免造成不必要的损失。

* 企业账号:360安全卫士,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf),作者:360安全卫士

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-09-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 这是一款新出的黑客游戏《Hackmud》

    近日一款黑客游戏出现在市面上并引发了大量的讨论,下面就来介绍并向大家推荐一下这款游戏。 游戏与现实世界 其实市面上出现的黑客游戏,有网页版的,有客户端版的。对于...

    FB客服
  • 域名阴影(Domain Shadowing)技术:知名钓鱼攻击工具包Angler Exploit Kit又添杀招

    臭名昭著的钓鱼工具包Angler Exploit Kit最近更新了许多漏洞利用工具(含0day),以及一项名为“域名阴影(Domain Shadowing)”的...

    FB客服
  • 专家预测第二波WannaCry攻击即将到来!

    WannaCry的传播脚步今晨戛然而止 今天一大早,全网的WannaCry蠕虫病毒攻击突然减弱消退了!所有这一切功劳来自于英国研究人员@malwaretech,...

    FB客服
  • 游戏人工智能 读书笔记 (三) 游戏和人工智能的相互影响

    原文链接:https://wetest.qq.com/lab/view/412.html

    WeTest质量开放平台团队
  • 游戏人工智能 读书笔记 (三) 游戏和人工智能的相互影响

    ? 关于作者:Fled在新加坡国立大学获得博士学位,现就职于腾讯游戏AI研究中心。 往期文章 游戏人工智能 读书笔记 (一) 前言与介绍 游戏人工智能 读书...

    腾讯高校合作
  • [穿越福城] 幕后故事 | 设计定义年味

    ? 腾讯ISUX isux.tencent.com 社交用户体验设计 ? ? 导语 每到过年,在外的游子都会不远万里回家与亲人团聚,这是一种中国独有的特色,...

    腾讯ISUX
  • Confluence 6 Oracle 连接问题解决

    https://www.cwiki.us/display/CONFLUENCEWIKI/Database+Setup+for+Oracle

    HoneyMoose
  • backbond Model方法(set)

    backbond的Model,其中存在一些操作属性的方法,而在这些方法中,最重要的就是set方法,其余的方法大部分都基于这个方法实现的,在backbond开发版...

    菜的黑人牙膏
  • 【董天一】IPFS:Filecoin和复制证明

    这篇文章主要来讲一下Filecoin协议里面的复制证明(Proof of Replication),由于协议涉及到很多概念,可能看起来有点晕乎乎的,小编尽量把...

    圆方圆学院
  • 基础篇章:关于 React Native 之 RefreshControl 组件的讲解

    (友情提示:RN学习,从最基础的开始,大家不要嫌弃太基础,会的同学请自行略过,希望不要耽误已经会的同学的宝贵时间) 我们已经讲完了 ScrollView 和 L...

    非著名程序员

扫码关注云+社区

领取腾讯云代金券