近期,筆者所在的QQ群有多名網友反饋Steam賬號被盜或者凍結,疑似中了盜號木馬筆者無意往前翻群聊天記錄,發現疑似群內有人故意傳播盜號木馬
該網盤以免費分享收費的輔助破解版為噱頭,吸引了大量的想要嘗試神秘力量的網友中招這些欲使用輔助的網友既是受害者,又是未遂的加害者 這裡我們隨便找一款輔助來測試一下是否真的是因此網盤盜號(以網盤內千里眼插件測試) 下載後解壓,然後運行,發現報錯, 通過分析得知,木馬釋放器偽裝成原輔助名字,運行後釋放到: C:\Users\Administrator\AppData\Roaming目錄下 一個是真正的插件,一個是未知的文件 mm.exe(實際為Steam盜號木馬)
這裡,我們將報錯的原文件放回文件目錄,此時遊戲輔助可以正常啟動,這裡已經提示更新了,當然這不重要 捆綁木馬的人可能根本沒認真看過原程序,導致連過期的程序都沒法跑起來。
再來看看mm.exe這裡推薦一下火絨劍,UI很友好,分析很方便, 過濾進程只捕獲mm.exe的事件過濾事件,我們先看看聯網幹了些什麼
訪問了兩個網址: http://66.11.117.198/n/getinfo.php?name=384871
http://66.11.117.198/n/readGmail.php?name=384871
到了這裡基本上可以確定這個mm.exe就是Steam盜號木馬本尊了 由上面的信息,筆者推斷,此盜號木馬已形成產業鏈,上面的信息文本是給下級傳播者的後臺公告,下面的則是此網盤木馬客戶端的後臺,負責控制接受QQ郵件,在用戶激活木馬利用郵箱key漏洞接受受害者所有郵件,這裡特別指明一點:一般用戶的Steam賬號都是QQ郵件,當盜號者進入受害者的郵箱後是很容易盜取受害者的Steam賬號的。
產業示意圖
該木馬還會修改註冊表啟動項,偽裝微軟安全驗證騙過一些沒有經驗的用戶達到循環盜號
此木馬還有對鍵鼠下鉤子的操作,這裡可以使用哈勃/魔盾來分析 在筆者準備使用靜態分析技術解剖此病毒時,發現騰訊電腦管家可以精準查殺此木馬,所以本次分析就到此為止。。。
有點意外的是,QQ群內被盜號的同學,開啟了火絨缺沒有捕捉到此木馬, 經測試,火絨確實無法查殺此木馬,版本號:4.0.69.13
總結: 現階段的殺毒軟件保護技術已經日趨成熟,病毒木馬的存活空間越來越窄,作為遊戲玩家,使用遊戲輔助外掛必將受到遊戲Anti cheat的懲罰,更不應該聽信這些所謂的免費外掛,維護網遊環境,人人有責。 關於Steam賬號安全防護的幾點建議: 1. 設置QQ郵箱獨立密碼2. Steam賬號綁定手機令牌3. 拒絕使用未知來源的遊戲外掛
閱讀更多 一朝遊 的文章
