QQ三国盗号木马分析报告

一.背景介绍

近年来网络游戏越来越火,人们充值大量金钱玩一个心爱的游戏已成常态,所以有些游戏账号非常值钱,特别是QQ三国这种每次更新都要氪金的游戏,虽然只剩下部分老玩家在玩,但他们中的大部分账号都有许多值钱的装备和物资。使得某些不法分子将目光放在了这些游戏账号上面,他们编写盗号木马,通过各种手段让玩家运行,窃取到账号后会盗取装备和物资,以换取金钱。

二.概述

该木马运行后会在QQSG.exe所在目录释放Tsg1.dll(盗号模块),并修改三个dll的入口地址,使得QQSG.exe运行时加载这三个dll的其中一个后也会加载Tsg1.dll。该盗号模块加载时会创建一个线程,负责将本地的网卡、系统版本等信息提交到编写者的服务器。然后修改QQSG.exe的关键地址,以截取账号密码等信息,发送到编写者的服务器。

图-盗号流程

三.详细分析

1.母体木马qqsg501.exe

MD5:10BFAF8079777878CFB155B87651DE5A

1.1 进程提权

图-进程提权

1.2 寻找QQSG.exe

创建进程快照,寻找QQSG.exe,找不到则查询注册表项,还找不到就遍历硬盘寻找。

图-在进程和注册表中寻找QQSG.exe

图-遍历硬盘寻找QQSG.exe

1.3 关闭QQSG.exe

关闭后,玩家只能重新登录,然后被后面注入的模块盗取账号。

图-关闭QQSG.exe

1.4 释放盗号模块Tsg1.dll

图-释放Tsg1.dll

1.5 修改三个dll

修改三个dll(dsound.dll、Zlib1.dll、DisplayD3D8_Dll.dll)的DLLMain入口地址,使其被加载时顺便加载盗号模块Tsg1.dll,加载完会自我修复。

图-修改dll

1.6 自我删除

做完dll注入的工作后,会自我删除。

图-自我删除

2.盗号模块Tsg1.dll

MD5:065AB6C5416DC2168B83FD178A68895

2.1 检测加载该dll的进程

图-检测进程

2.2 发送本机信息

创建一个线程获取本机的网卡、系统等信息,然后发送到HTtp://cda3.dnsdate.com:6299,并会请求文件,写入临时文件夹,因为域名已无法访问,该行为无法明确。

图-发送请求

图-发送内容

2.3 HOOK QQSG.exe关键指令

从QQSG.exe代码起始地址开始寻找匹配、修改某些位置的代码,因为QQSG.exe加了PELock壳保护,只能结合其余5个未被该dll调用却会发送数据或截屏给编写者服务器的函数(sub_10004C04、sub_10004C97、sub_10004C48、sub_10004D44、sub_10004D70),猜测这段代码是HOOK了5个关键位置代码,分别跳转到这5个函数,并向编写者服务器发送各种账号信息。

图-修改代码

2.4 发送账号信息

sub_10004C04会检查通过HOOK传递过来的参数是何种账号信息,并决定将其发送到编写者服务器的哪个地址,地址由函数sub_100043DB解密得到。

有三个接收地址:

http://222.186.55.213:8107/gk/lin.asp

http://222.186.55.213:8107/gk/mb.asp

http://222.186.55.213:8107/gk/pic.asp

图-检查传递过来的参数

图-发送账号信息

2.5 发送截图

sub_10004D70通过HOOK得到执行机会后会创建线程,进行截屏并且发送图片到编写者的服务器,可能是想得到密保卡。

图-截屏

图-发送图片

四.总结

该木马运用了在资源表隐藏文件、DLL入口劫持和优先加载当前目录下dll方式实现DLL注入、HOOK游戏关键指令获取账号密码、截屏、发送请求等技术来实现盗号的功能,全程十分隐蔽。

*本文原创作者:RNGorgeous,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-08-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Wifi密码破解实战

声明:此文章仅供研究学习和技术交流,请勿用于破解他人 WIFI 密码!如果你有这些时间和精力,完全可以新买一坨无线路由器,何必蹭别人家的无线网!!!! 前言 网...

1.3K90
来自专栏Kurt Niu 的博客

自己制作一个USB自动挖矿器

这时候你只需要花十块钱制作如下设备,然后钻到桌子底下装作系鞋带, 把设备插到他主机箱后边的USB接口,倒数三秒钟,再拔下来... 这时候他的电脑CPU已经占用...

19320
来自专栏FreeBuf

浅谈非PE的攻击技巧

背景 近日,金山毒霸安全中心捕获到一例利用邮件传播的非PE样本,类型为lnk快捷方式文件,执行后会下载勒索病毒,最终会加密用户机器上的文档、图片、视频等重要文件...

36170
来自专栏信安之路

打造属于自己的渗透神器 第二篇

今天我又给大家带来了新的一篇打造一个属于自己的渗透神器,之前在浏览视频的时候看到一部视频就是讲这个的今天我们就一起试一下。

17700
来自专栏阮一峰的网络日志

DDOS 攻击的防范教程

85230
来自专栏FreeBuf

新型浏览器挖矿技术可在浏览器窗口关闭的情况下持续挖矿

? 写在前面的话 在之前的文章中,我们给大家介绍了基于Web的挖矿恶意软件的相关内容。通过观察发现,越来越多的攻击者开始使用臭名昭著的Coinhive服务(允...

23290
来自专栏听雨堂

简单账本-用完即走的微信小程序

        作为一个记账强迫症患者,对当前手机中的记账App都不太满意。这类软件越来越臃肿,越来越慢,启动要半天、联网同步要半天,进入界面又有一堆新功能要介...

27360
来自专栏黑白安全

45种撸进后台的方法

2、到Google,搜索一些关键字,edit.asp? 韩国肉鸡为多,多数为MSSQL数据库! 

1.9K70
来自专栏FreeBuf

Slither:第一款针对Solidity的静态分析框架

Slither是第一个开源的针对Solidity语言的静态分析框架。Slither速度非常快,准确性也非常高,它能够在不需要用户交互的情况下,在几秒钟之内找到真...

14850
来自专栏FreeBuf

你说安全就安全?对红芯浏览器的一次安全测试

近日,红芯浏览器“套壳”一事被网络舆论炒的沸沸扬扬。红芯浏览器被官方标榜为“安全、稳定、可控的企业浏览器”,其中“自主可控”一项已经被舆论所质疑,但是被官方放在...

9220

扫码关注云+社区

领取腾讯云代金券