吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 20441|回复: 43
收起左侧

[PC样本分析] 站内绝地求生插件初步分析

  [复制链接]
莫莫大侠 发表于 2018-4-2 21:09
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 莫莫大侠 于 2018-4-2 21:44 编辑

https://www.52pojie.cn/thread-720680-1-1.html 举报贴地址   @zhm757   

小白初步尝试分析一下,抛砖引玉寻求大神~~~~分析过程把我逗笑了。


2.png

软件这样, 尝试过改后缀,rar解压,并没有发现什么捆绑在一起的程序,那我们就直接拖到OD里面看看。


OD 里面非常直观的可以看到,他释放了一个 叫 KAY的 程序。这就是那个盗号木马。


3.png


那咱们就让他释放出来,在段首下端,点击启动辅助,段首断下了,单步跟到字符串下面的CALL,我们看到文件已经释放了。


4.png

看图标,就知道是QQkey获取工具,PS:貌似是一个大神免费写的,后来被别人倒卖的太厉害作者不更新了。




拖到OD里面搜索字符串,可以看到调用了邮箱的SMTP   该怎么解释这个SMTP呢。
5.png

这个东西类似于邮箱的另一种密码  也就是说,他如果获取了这个密码,不需要知道你的QQ密码,就能直接完成发送邮件的任务。 这个做过邮件群发的朋友一定不会陌生~


6.png



在上面,咱们又看到了获取 QQ  和 key 的字符串。  不用运行,就知道程序的工作流程了。   
7.png

首先,你打开下载的辅助,单击开启的时候就自动释放出key.exe 在利用CMD命令运行。


Key的工作,则是先判断你的Q是否登录,如果没有登录,就直接终止程序,如果有就开始下一步动作。


这个动作是什么呢?说白了,我也不清楚它的Key是获取的Q密码,还是邮箱的SMTP  (有没有大神了解这一方面的)


而且我们还能看到它的后台地址,我们访问看看去。


8.png 流批兄弟,我是小白还真没办法DD你。 不过我想说,你这样盗号良心不痛的吗?有没有大手子可以搞他一波~【滑稽】


下面说一下中招的小伙伴怎么办~


1.首先不要慌,先去steam客服那里申诉,附上你购买游戏的付款软件的支付截图和订单号。(比如支付宝,就找到那个订单记录详情截图,微信同理。)


2.看看你邮箱的SMTP是否在开启状态,如果是的话,就把他关闭。为了保险起见,最好更改一下QQ密码。
9.png



这类盗号一般都是卖黑号的商人。steam 找回一般需要2天左右,如果运气好,这个号没卖出去,或者卖出去别人开挂低调没有被封,2天后账号就回到你的手里面了。


所以说,真爱账号,远离一些奇怪的程序。。。


想当年我群里看到一个“绝地求生变声器”下载以后就差点中招,还好我及时发现不对劲。而且这种木马都是免杀的,你哈勃都分析不出来 。







免费评分

参与人数 14吾爱币 +18 热心值 +13 收起 理由
Hmily + 6 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
人家喊我啊俊锅 + 1 + 1 热心回复!
wss724000 + 1 + 1 楼下steam说mmp的,就喜欢你这种维护平台的用户
asd4226599 + 1 + 1 努力成为大神吧!
cndy + 1 Cairl 成功的逗笑我了~~23333333333
在星辰之颠 + 1 + 1 我很赞同!
弑丶空 + 1 + 1 用心讨论,共获提升!
我好气呀 + 1 + 1 用心讨论,共获提升!
Fcous-lq + 1 + 1 我很赞同!
Cairl + 1 哇,开挂被挂盗号,然后还要去steam那里去申诉,steam心里只有MMP可以说
Epilepsy丶兔子 + 1 + 1 我很赞同!
dd650705 + 1 + 1 我很赞同!
I88888 + 1 + 1 我很赞同!
糖块 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

头像被屏蔽
nedesq 发表于 2018-4-2 23:56
提示: 作者被禁止或删除 内容自动屏蔽
hl301 发表于 2018-4-2 21:18
yryinrui 发表于 2018-4-2 21:19
头像被屏蔽
╰Tang 发表于 2018-4-2 21:20
提示: 作者被禁止或删除 内容自动屏蔽
mfklje 发表于 2018-4-2 21:26
厉害了,我从来不装杀软,因为不下什么乱七八糟的软件
linuxprobe 发表于 2018-4-2 21:35
你分析的这个太简单,看不明白。
麻花疼不 发表于 2018-4-2 21:37
提醒一下,如果steam被盗号了最先做的是锁定账号,通过绑定手机令牌给的救援代码可以实现(如果你没有绑定手机令牌强烈推荐绑定),这样可以让盗你号的那个小狗狗没办法玩你的任何游戏,急的它汪汪叫
 楼主| 莫莫大侠 发表于 2018-4-2 21:42
╰Tang 发表于 2018-4-2 21:20
毛遂自荐自己的帖子 【某】“免费”“破解”捆绑的【盗号木马】
大佬讲到的key 可以参考这位大佬的帖子信 ...

谢谢指导分析。       我补充,我说的免杀的那个木马,那个不是 key 。他是你Q登录状态的时候才能工作,退出Q的话就不能改steam密码了。并没有获得Q的kay。
 楼主| 莫莫大侠 发表于 2018-4-2 21:44
linuxprobe 发表于 2018-4-2 21:35
你分析的这个太简单,看不明白。

有几张图忘记加了。。
头像被屏蔽
╰Tang 发表于 2018-4-2 21:50
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表