一款伪装"QT语音"的steam盗号病毒分析
本帖最后由 pghuanghui 于 2019-8-15 16:06 编辑原贴地址:https://www.52pojie.cn/forum.php ... 6orderby%3Ddateline
本人小菜一个,分析不到位的地方,请各位大大多多指教。
原贴说的免杀,并不是完全免杀,国内的一些杀毒软件还是能查杀出来的。
1、样本信息:
原始文件名:QT语音.exe
MD5:CA2B935DF2AA3D2564E95837A0A4979A
处理器框架:Microsoft Visual C++ 6.0
文件大小:0.97 MB (1,024,000 字节)
2、样本行为分析(1)样本在调用资源数据段中的函数(已自定义),资源数据段中对应的DLL函数中有对应的函数
资源数据段的内容:
(2)在资源数据表获取函数名称
资源表中的数据:
(3)在注册表中将steam的记住密码选项默认开启
(4)检查用户的游戏账号是否被封禁
(5)获取steam登录时的key
(6)获取QQ快捷登录的方法
(7)构造HTTP协议包
(8)修改steam登录框
(9)将登录框的信息转为jiemi1.txt
(10)加载指定的虚假的登录DLL,将其转为jiemi2.txt
(11)将程序提到最高权限
(12)再自定义HTTP头,用来记录保存用户的steam账号信息,并生成授权
(13)遍历用户磁盘
HLYM 发表于 2019-8-15 21:02
我steam账号也是被盗了,连带着QQ和邮箱什么的。最后重装系统才解决。然后我仅仅玩了两个小时的吃鸡游戏就 ...
同感受,这是网吧的锅,steam和浏览器都有后门,参考lol的界面,就插入了很多烦人的广告 tempura 发表于 2019-8-21 14:59
steam不是要移动端临时码验证登录吗?有账号密码也无法登录啊?这个病毒连移动端临时验证码也能获取到?
我觉得那种把steam看作吃鸡启动器的人不会开手机验证 前排膜拜大佬 分析的很好 不过看不太懂 但是还是谢谢了 小白膜拜大佬 这些病毒是真的恶心{:301_1003:} 最烦这些人,盗号倒卖,灰色交易 我steam账号也是被盗了,连带着QQ和邮箱什么的。最后重装系统才解决。然后我仅仅玩了两个小时的吃鸡游戏就被永久封停了,盗号g思全家。 感谢分享 病毒真恶心人 猴赛雷!虽然我一点也看不懂