“亡刃”盗号木马伪装成“迅游加速器”,“陌陌语音”,“腾讯免费加速器”,“变声器”等多种小程序通过QQ群进行传播:

在传染用户机器后,木马会盗取用户的Steam账号密码,盗取集结号游戏,辰龙游戏,850游戏插件的配置文件,同时还会记录用户的键盘记录,盗取QQkey等,整体病毒流程如下:

360php查杀360平安年夜脑强力查杀亡刃盗号木马 HTML

技能剖析

病毒运行后,创建下列线程分别实行不同的病毒逻辑:

创建一个线程设置RememberPassword的值为0,使得用户每次上岸游戏都须要输入账号密码:

然后遍历进程,结束正在运行的steam干系进程,强制用户重新上岸,以实行盗号逻辑:

然后连续遍历进程,当steam.exe进程再次启动时,将资源中的steamHK通过DLL注入的办法注入到steam.exe进程中实行,干系注入逻辑如下:

steamHk.dll通过内联挂钩的办法挂钩vstdlib_s.dll动态库的V_strncpy函数,该函数会在用户输入密码时被steamUI.dll调用,病毒通过hook该函数,拦截用户输入的账号密码等参数。

过滤账号密码的函数如下:

末了将截取到的账号密码保存到Steam安装目录下的A.txt中。

创建一个线程将A.txt中的账号密码,以及ssfn授权文件等发送到http[:]//104.143.94.77/nc/n/getfile1.php:

创建一个线程将资源中的病毒文件server.exe开释到系统目录下实行:

server.exe在内存中解密并加载动态链接库flyboy.dll,并调用其导出函数Host(),代码如下:

干系的解密逻辑如下:

flyboy.dll会创建一个线程解密资源中的C&C做事器地址,并考试测验连接,线程功能与旧版的Gh0st远控类似。
然后将server.exe拷贝到随机目录下并注册为自启动项。
检测Rstray.exe和KSafeTray.exe等安全软件进程,通过Vmware的后门指令检测当前运行环境是不是虚拟机,当确定运行环境安全时,则会创建一个线程去C&C做事器下载并实行棋牌类游戏盗号模块,整体的代码逻辑如下:

下载的1.exe会将资源中的work.dll开释到Temp目录下,并注册到RemoteAccess做事项当中,末了调用rundll32.exe实行病毒动态库的XiaoDeBu导出函数,代码逻辑如下:

work.dll会记录用户的键盘记录,先获取当前活动窗口,并记录窗口标题以及击键记录,将其保存到Luck.ley文件中:

盗取集结号游戏插件,辰龙游戏插件以及850游戏插件的配置文件:

以集结号插件为例:

末了会将Luck.key中记录的敏感数据进行异或0x62后发送到病毒作者掌握的做事器上,干系逻辑如下:

安全建议

(1)对付安全软件提示风险的程序,切勿轻易添加信赖或退出杀软运行。

(2)360安全大脑已查杀“亡刃”盗号木马,受影响的用户可以前往weishi.360.cn下载查杀。