布景描摹

黑产掌握QQ空间来进行群发告白进行导流的情况，想必群众都已见过，但关于单纯的发布引流告白带来的收益，他们似乎并不知足。

近期，毒霸“捕风”挟制感知系统监控到一款针对在线棋牌游戏进行盗号，何况同期大约在英杰定约客户端内群发菠菜告白，从而进行引流的木马。和之前的棋牌盗号类木马不同，以往的棋牌游戏盗号木马频频仅仅掌握百度SEO优化或者竞价排行，让盗窟客户端排行靠前，从而吸援用户下载，而此次的盗号者则一改常态，遴选主动出击，对装配了正规棋牌游戏厂商，如：1378、集合号、辰龙游戏等的腹地客户端进行点窜，阻扰其安全音问的请示，从而最终盗取账号密码以及游戏金币。

而关于在英杰定约客户端内发告白引流的木马，尚属初度发现，木马作家通过调用英杰定约客户端腹地音问发送的API，当一局游戏截至泄漏战绩时，就会发送菠菜群的告白或者流通，为了幸免音问被过滤阻扰，还会袭取同音字替换的神气绕过过滤阻扰。

字据对干系传播样本的分析，咱们觉得该样本的源泉来自于网吧环境，在分析期间，该病毒的插件的功能亦然每天更新，单个变种感染量达3W+。

期间分析

该病毒的主要运行经过如下：

病毒运行后，最初会复制本人到system32下一个偶然定名的文献夹里，然后重定名伪装本人为系统文献，会被伪装的文献名

列表如下：

接着，不绝从处事器http://api.6688cy.com/2.gif下载一个加密了的图片文献，该文献解密后为另一个网址流通http://api.6688cy.com/2019.gif，该链接不异指向了一个加密的图片文献，对该图片文献再次解密后，发现其为一个DLL 文献，该DLL文献的主邀功能是去下载另外2个木马文献：英杰定约告白木马和棋牌游戏盗号木马，以下区别进行具体分析：

木马一：英杰定约告白木马

病毒作家提前将该木立时传到了环球图片处事器中（新浪、百度、网易），以驻防安全分析人员溯源、追查到其真是身份，上传搁置图片所用的处事器如下：

但其实关于使用了新浪图片外链的流通，是不错反查追溯到源泉的，举例上头图片中所使用的新浪图片流通，反查到上传者的信息如下：

从第一条上传的日历来看，这个木马从2018年9月份就运转活跃了：

下载得到的文献，不异是伪装加密的图片文献，解密后，依旧是一个DLL文献，而这个DLL等于最终的木马文献。

病毒掌握c:sdlfkjsldjfsldkfjs.txt文献行为开关绚丽文献，若文献存在，则不实践后续的操作，该DLL文献中包含了两个迥殊的PE文献：CURL库文献和一个用于注入LeagueClient.exe进度的文献。

该DLL文献加载运行后，最初会创建3个线程：

线程一：

数据上报至统计处事器：http://api.hjhmc.com/c.php?md5=/AbW5ekasENZnoFYhA86kLY2HNZ5A2XRowvOg/qYVq6hDUJgQHR/UQ==，该网站后台为浮图面板：

线程二：

针对英杰定约客户端进行注入操作，将本人开释出的一个PE文献，注入进LeagueClient.exe，主要为获取auth-token值和app-port值，然后将获取得到的值存放在C: a.dat中，为后续构建发送音问的流通所用：

线程三：

字据取得的auth-token值和app-port值，构建相应的音问发送流通，然后发送相应的告白信息，完成菠菜告白的发送：

不外由于干系处事流通的失效(http://43.224.29.58/msg/2.txt)，暂未能获取相应的告白信息建树数据，但字据该木马内置的一个要害词替换字典信息以及网上的干系响应来看，臆测为销毁类型的木马，发送的是菠菜类型告白：

除了在英杰定约客户端内发送菠菜告白外，病毒还会掌握QQ的快速登录，盗取ClientKey值，然后在空间的说说中，加入定时

说说，定时发送告白

：

木马二：棋牌游戏盗号木马

该棋牌游戏盗号木马插件主要针对以下4款游戏：

马来西亚国防部高级部长希山慕丁1日表示，大马全面重开边境势在必行，内阁早在2月初就已同意，并且建议了开放日期，首相将在不久后正式宣布。

1月5日，灵武市公安局经侦大队接到马某报案称：其公司专职会计乔某某利用职务之便，私自挪用公司货款19万余元转入个人账户后不知所踪，请求公安机关查处。

3月2日上午，柬埔寨洪森总理在出席3号公路正式启用仪式上表示，将来柬埔寨高速公路将限速120公里。

木马通过检测以上4款游戏窗口找到游戏主进度，然后通过费力线程注入盗号DLL模块，挂钩指定函数，在用户收支游戏房间、存取游戏币、修改帐号密码等操作时拿到账户信息并上传。

以“1378游戏中心”盗号木马为例，当检测窗口标题为“1378GameCenter”时，就会开释DLL到C:WindowsTemp%d.dll，并注入游戏进度。

盗号DLL模块在游戏进度加载后，会挂钩游戏干系的功能函数，阻扰游戏里面音问。在用户进行登录、参预房间、存取钱、绑定解绑、修改密码等操作时，获取用户账户密码、银行密码、游戏币等数据，并加密上传至处事器。

挂钩代码，针对多个DLL中的函数进行挂钩代码如下：

一共有5个挂钩函数：

挂钩函数1：阻扰渊博的游戏音问并区别处治：

该钩子函数针对用户登录游戏、大开银行、存取游戏币、参预游戏房间、绑定解绑等操作都进行了活动纪录，并和用户账户信息、密码、游戏币等上报到费力处事器。

上报数据明文要领如下：

其中针对登录游戏、参预房间、修改密码这3类操作会获取并上报用户的机器码Pr_MAC用于费力解绑洗号。

当账号他乡登录时会替换腹地的请示音问，驻防用户发现账号被盗：

挂钩函数2：上报用户参预的房间名：Pr_ID=%d,Pr_Room=房间名,

挂钩函数3：用户退出房间时上报：Pr_ID=%d,Pr_Msg=退出房间,

挂钩函数4：用户退出房间退出游戏切换账号时上报

挂钩函数5：偷分（盗取游戏币）

疑似调用游戏里面函数完成游戏币盗取，暂时无法触发调用。

上报要领：Pr_ID=%d,Pr_Money=%d,Pr_Toal=%d,Pr_Bank_Money=%d,Pr_Steal_Bank=%d,Pr_Msg=偷分中

上报函数会上传网罗到的用户游戏账户信息，并每30秒发送一个心跳包，上报数据经过rc4加密和base64编码后发送至流通129.211.126.131/index.jsp?Act=Update&Data=%s

以下是病毒作家处事器上网罗到的账号信息：

另外，www.hjhmc.com为病毒的上报统计处事器，不错看到逐日的感染量统计，以下是其中一个渠道的感染上报数据：