BanID:wty927【发布软件添加盗QQkey后门】
BanID:wty927【发布软件添加盗QQkey后门】今天凌晨收到@LX2222 的举报反馈被盗号
发布的加速器盗取账号信息
https://www.52pojie.cn/thread-785555-1-1.html
我们着手分析一下看看软件确实发现了问题,被添加了盗取QQkey的后门,通过拿到QQkey后任意操作QQ邮箱,来盗取Steam账号。
一:木马行为分析:
文件下载后发现大部分文件都带有网易的签名,只有ui.dll和uu_main.dll文件没有,经过分析ui.dll应该原版就有,只是被添加了一个区段,作用是引入一个导入表,自动加载uu_main.dll执行。
那问题就简单了,只需要判断uu_main.dll到底是安全的破解补丁还是盗号木马了?uu_main.dll本身加了VMP3的壳,关键代码也被虚拟化了,直接运行看看也没可以字符串,常规思路没有进展,那就变换思路继续看看,先让DLL在OD里跑起来看看有什么。
借助Wireshark(抓包工具)和SSM(主动防御工具)【爱盘都有下载】,可以看到程序请求多个网址和一个本地的请求(这点嫌疑最大,盗QQkey的都是本地请求)
上面的线索让我们关注到有几个网络请求,但字符串中也没看到网址,Wireshark看到的www.liuqiang6666.xyz:8080网址就很可疑,加上还有一个本地请求,我想看看代码到底是写的什么,字符串加密了?
直接在程序一些网络函数api下端,发现HttpSendRequestA可以中断,不看不知道,一看还真是访问本地QQkey的请求:
进一步验证了猜想,到这里就简单了,继续分析,看看QQ这个URL哪来的,之前并没搜到,通过分析,原来URL前半部分是加密存的,运行解密出来:
既然把字符串加密了,也找到了解密的地方,那就直接在解密的地方下个断点,看看都解密了啥东西,不出意外,解密的全是和盗号有关的信息(只贴部分,还有很多加密的未贴):
http://www.liuqiang6666.xyz:
http://localhost.ptlogin2.qq.com:4300/pt_get_uins?callback=ptui_getuins_CB&r=0.7478418888058513&pt_local_tk=0.3858416392467916
TCP发信
360tray.exe
HipsMain.exe
火绒剑.exe
虽然木马把关键代码都VM掉了,我们依然可以从行为和部分代码进行分析判断出是盗号木马,如果我本机登录QQ,应该就可以触发到盗号发信的过程,后面就不演示了,欢迎大家跟进分析。
木马下载地址以及相关文件MD5:
hxxps://www.lanzouj.com/i1k96ja (完整木马包)
uu_main.dll MD5: 57FC3BFE48069ECBA7F538CAC3EE55D1
二:木马防范
最近有很多人心生邪念,走入歧途,发布软件捆绑盗号木马,本帖中的木马已经从简单的捆绑走到了劫持加载,前段时间还看见有人直接添加区段,使用内存直接加载木马运行的,盗号手段也在日益更新,恰好论坛有来自各种安全公司的技术大牛,还有热爱安全的热心会员,在大家的帮助下我们可以第一时间发现危险并进行处理。(其实很多大家在没看到帖子的时候就已经在后台被管理发现处理,详见小黑屋。)
大家在使用程序时候建议安装安全软件,比如这个木马,360和QQ管家都能查杀(恩,第一时间我们就直接给官方推送查杀了),切忌使用的时候退出安全软件(木马才会说自己没毒,让你退出杀毒软件)。
Steam账号不建议使用QQ邮箱绑定,建议更换其他邮箱,如果非要用,QQ邮箱也应该加上一个独立密码(不太了解机制,是不是也没卵用?)。
如果你论坛账号使用QQ邮箱绑定了,建议登录设置安全验证问题!
最后如果你已经被盗或者使用过这个程序的,尽快修改QQ密码,并检查QQ邮箱设置中是否被设置转发规则等,防止再次被盗!
三:后话
虽然论坛有很多高手,但我们希望提高所有人的安全意识和识别能力,看上述我的分析,你是不是也想来试试?
大家对于新注册会员发布的内容请多加注意,有能力分析出问题的可以帮助我们尽快举报,大家合力保卫论坛安全。
想对那些心怀不轨的人说,你在吾爱破解这样的技术论坛玩这种小伎俩,分分钟就给你剥皮把肉看得清清楚楚了,这里都是活跃在互联网安全界的精英,任何小动作都是自讨苦吃,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!
最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!
20180929发现新的变种,这次用的是巡游,依然易语言写的木马,大概流程:给xunyou.exe添加了一个导入表加载xunyoutt.dll,xunyoutt.dll会有一些判断,判断成功后加载木马config\xydata.txt(非PE)解密并内存执行核心木马文件,核心就是盗QQskey的,和之前一样,但木马作者看了本帖,把更多的代码加了VMP保护,字符串加密的地方也更多了,但木马就是木马,我一眼还不是就看出来你?(这回复帖子木马作者肯定也能看到,和主题贴一样木马作者看过一样,劝你迷途知返,你不知道有关部门现在要干什么了吗?)
木马推广下载地址:https://www.lanzouj.com/i1zfg0h
xunyou.exe MD5: 03D81211A9DA927250ADADC098E1D73D
xunyoutt.dll MD5: 673B8664E985D07FC7A1AC10DD127845
xydata.txt MD5: 31D4A8D172AABA992202D9BC75BE9C23
木马接收盗号信息域名:http://www.bb95663.xyz (木马本帖解析出IP:115.144.238.222)
内存解密后的核心木马DLL:
Hmily 发表于 2018-9-30 11:23
20180929发现新的变种,这次用的是巡游,依然易语言写的木马,大概流程:给xunyou.exe添加了一 ...
通过给的域名我查询出来相关的信息
一. 这个VPS是在https://sg.godaddy.com/zh/hosting/web-hosting进行购买的
作者的QQ号码是346711886
作者的手机号码是13203135617
作者本人的地址在 湖南长沙其他我就不想在透露了
作者名字叫****坚 不透露太多
这些信息足够可以逮你好机会了,本来不想查的,犯我吾爱者......
有兴趣的人可以继续往下挖 怀旧下记得好多年前 Hmily 帮我做过一个破解寻仙的视频 那年52一直缺少经费我的老账号还没冻结 52还有群 天网恢恢,疏而不漏。请木马制造者不要低估论坛大牛的能力,以身试法,你做的一切事情必将留下蛛丝马迹,你的小伎俩在高人面前或许只是一些皮毛。
另外我提醒广大会员,提高一下自己的防范意识,特别是xx加速器、xx原创辅助要特别小心,木马制造者常常已这些东西作为诱饵,来盗取你的账号,造成难以估量的损失。如果需要使用加速器、原创辅助等软件,建议各位会员先浏览一下回复,然后再决定是否下载,账号的密保要完善,比如使用Gmail等安全系数较高的邮箱,开启密保问题等。 很多人都喜欢说多少多少钱从某宝买的,然后再发到论坛,之后就好像一副事不关己的样子! 支持严惩盗号的,特别是在吾爱发木马的 哇,这个要是发布到其他论坛里面估计大部分人都会中招,还好吾爱大佬多,一下就发现问题,支持!!! 是不是免费用UU加速器吃鸡的意思? 在吾爱这种大神云集的地方发木马就是作死 第一板凳?话说最近杂这么多盗QQkey的 再贴一个前几天看到的同样手法的样本MD5:E577DE76E3B090F01AC174D50D796104
域名:http://www.tt562669.xyz:8080 我一般只用outlook邮箱 感谢大神让我们免灾害 老大威武 处理这类败类绝不手软