*本文原創作者:RNGorgeous,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
一.背景介紹
近年來網絡遊戲越來越火,人們充值大量金錢玩一個心愛的遊戲已成常態,所 以有些遊戲賬號非常值錢,特別是QQ三國這種每次更新都要氪金的遊戲,雖然只剩下部分老玩家在玩,但他們中的大部分賬號都有許多值錢的裝備和物資。使得某 些不法分子將目光放在了這些遊戲賬號上面,他們編寫盜號木馬,通過各種手段讓玩家運行,竊取到賬號後會盜取裝備和物資,以換取金錢。
二.概述
該木馬運行後會在QQSG.exe所在目錄釋放Tsg1.dll(盜號模塊),並修改三個dll的入口地址,使得QQSG.exe運行時加載這三個 dll的其中一個後也會加載Tsg1.dll。該盜號模塊加載時會創建一個線程,負責將本地的網卡、系統版本等信息提交到編寫者的服務器。然後修改 QQSG.exe的關鍵地址,以截取賬號密碼等信息,發送到編寫者的服務器。
圖-盜號流程
三.詳細分析
1.母體木馬qqsg501.exe
MD5:10BFAF8079777878CFB155B87651DE5A
1.1 進程提權
圖-進程提權
1.2 尋找QQSG.exe
創建進程快照,尋找QQSG.exe,找不到則查詢註冊表項,還找不到就遍歷硬盤尋找。
圖-在進程和註冊表中尋找QQSG.exe
圖-遍歷硬盤尋找QQSG.exe
1.3 關閉QQSG.exe
關閉後,玩家只能重新登錄,然後被後面注入的模塊盜取賬號。
圖-關閉QQSG.exe
1.4 釋放盜號模塊Tsg1.dll
圖-釋放Tsg1.dll
1.5 修改三個dll
修改三個dll(dsound.dll、Zlib1.dll、DisplayD3D8_Dll.dll)的DLLMain入口地址,使其被加載時順便加載盜號模塊Tsg1.dll,加載完會自我修復。
圖-修改dll
1.6 自我刪除
做完dll注入的工作後,會自我刪除。
圖-自我刪除
2.盜號模塊Tsg1.dll
MD5:065AB6C5416DC2168B83FD178A68895
2.1 檢測加載該dll的進程
圖-檢測進程
2.2 發送本機信息
創建一個線程獲取本機的網卡、系統等信息,然後發送到HTtp://cda3.dnsdate.com:6299,並會請求文件,寫入臨時文件夾,因爲域名已無法訪問,該行爲無法明確。
圖-發送請求
圖-發送內容
2.3 HOOK QQSG.exe關鍵指令
從QQSG.exe代碼起始地址開始尋找匹配、修改某些位置的代碼,因爲QQSG.exe加了PELock殼保護,只能結合其餘5個未被該dll調 用卻會發送數據或截屏給編寫者服務器的函數(sub_10004C04、sub_10004C97、sub_10004C48、 sub_10004D44、sub_10004D70),猜測這段代碼是HOOK了5個關鍵位置代碼,分別跳轉到這5個函數,並向編寫者服務器發送各種賬 號信息。
圖-修改代碼
2.4 發送賬號信息
sub_10004C04會檢查通過HOOK傳遞過來的參數是何種賬號信息,並決定將其發送到編寫者服務器的哪個地址,地址由函數sub_100043DB解密得到。
有三個接收地址:
http://222.186.55.213:8107/gk/lin.asp
http://222.186.55.213:8107/gk/mb.asp
http://222.186.55.213:8107/gk/pic.asp
圖-檢查傳遞過來的參數
圖-發送賬號信息
2.5 發送截圖
sub_10004D70通過HOOK得到執行機會後會創建線程,進行截屏並且發送圖片到編寫者的服務器,可能是想得到密保卡。
圖-截屏
圖-發送圖片
四.總結
該木馬運用了在資源表隱藏文件、DLL入口劫持和優先加載當前目錄下dll方式實現DLL注入、HOOK遊戲關鍵指令獲取賬號密碼、截屏、發送請求等技術來實現盜號的功能,全程十分隱蔽。
*本文原創作者:RNGorgeous,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載