360安全卫士技术博客揭秘棋牌游戏木马

2019-05-15 04:41:34 来源: 平顶山信息港

想来从1978年的《冒险岛》问世PC平台至今,电脑游戏来到这个世界上已经快有40个年头了。而如今遭到页游和手游的冲击,传统PC游戏已经风光不再。但有一类游戏却在PC平台上始终坚挺,这就是我们今天的主角棋牌游戏。个中原因不是我们这里需要深究的,但是这类异常的坚挺却带来的必然是树大招风各种木马作者会纷纷瞄准这个市场,而这才是我们需要关注的焦点。

0x00 自我伪装

木马作者采取竞价排名推广,使虚假游戏中心页在搜索结果中排在前面(一般情况下我们会认为排在个位置的就是官了,但是这种虚假游戏中心页往往前面几个都是假的。虽然该址后面带有实名认证,但是这里提示一下广大用户,在利用搜索的时候,带有实名认定的也不一定是没有问题的。)木马作者还高度模仿官址,制造一个虚假地址,

0x01 混淆视听

带马站的整个页面布局和官方站的在视觉效果上是一模一样,不注意的情况下我们很容易就中招了。

0x02 自我隐藏

经过分析比较后发现,从非官下载下来的程序功能齐全下载回来的安装包除了多了一个dll之外其它一切都没做过改变。程序拥有正常程序的全部功能。木马作者将原来的l文件重新命名为l ,然后将自己的带有歹意行为的dll命名为 WHSocket

木马文件WHSocket通过导出了与原WHSocket中相同的函数,使带有木马的游戏能和官下载的游戏一样、图4还展现了l的劫持手法

0x03 l分析

1. 加壳保护

该木马通过劫持官游戏中心的正常l程序启动,原文件在原安装包中只有28kb大小,但是在带有木马的安装包中所占大小为1.9MB。分析时发现作者自己写了一个壳给文件加上。这里的目的就是逃避杀毒软件的查杀了。

2. 获取号信息

该dll通过获得的特有的类名 5B3838FCD9-A4CEA28CA3E942来获取一段带有我们号的字符串,格式形如:exchangewnd_shortcut_prefix_号,在获取到字符串后,木马作者以prefix_ 为界限,通过字符串的复制获取到号

下面展现了为何通过5B3838FCD9-A4CEA28CA3E942类就可以获取到我们的号。由于标题就是╮(╯▽╰)╭

下面这段代码就展示如何获得号的过程

3. 获取被控端外地址

从下图可以知道木马作者是通过建立TCP连接,来传送数据。

木马作者将接受数据的服务器地址以十六进制的情势写在歹意dll中,通过讲十六进制数据转正成字符串获得到服务器地址

然后通过与服务器进行数据交互,从而获取到被控制端的外IP地址。

4. 获取游戏用户名和密码

通过查找游戏的主页面的类88369game来判断我们输入的用户名是否有效。如果找到游戏的主界面恶意dll才会发送用户的游戏账号和密码,如果没有查找到游戏的界面就不会发送

木马作者通过使用键盘记录来获取到我们输入的用户名和密码

抓包到发送被控端的外地址和我们的用户名还有密码。((o(╯□╰)o,可是密码竟然是明文啊)

6. 远控

和远程控制端建立

连接远程桌面

0x04 总结

棋牌游戏这类木马不止是这个88369,还有很多类似的游戏被同过以上相同或类似的手段进行处理了,比如前面我们发过的一篇报导集结号游戏的一篇文章,以及辰龙游戏、斗地主、三国赛马、港式五张、对杀妞妞、捕鱼达人等等游戏。大部分都是通过劫持dll,一般用来劫持的dll都是具有获取游戏玩家的用户名和密码以及后门功能。有了后门他想做的事情也就很多了。

0x05 防范措施

1.不要访问陌生站,遇到360拦截的站一定要立刻关闭。

2.从搜索里选择结果,一定要注意是否带有官认证。

3.尽量选择大厂商的游戏,无论是平台可靠性还是安全防护措施都会更有保障

4.上时一定要开启安全软件,下载游戏确认安全再打开。

月经量多会造成什么后果
来月经有血块肚子痛
月经量多有什么影响
本文标签: