近期有玩家反映游戏遭木马盗号,并发现黑客就像阴魂不散一样随时都能控制电脑。根据网友反映的样本信息,360QVM团队进行分析,发现该木马以内存加载和恢复恶意代码的方式来躲避查杀,同时它还会开启3389端口并增加一个管理员帐户,使盗号者能够随时远程登录受害者电脑,即使木马被查杀也极易再次中招。
木马一共有四个文件,一个快捷方式,三个隐藏属性的文件,分别是一张图片,一个exe文件和dll文件,exe程序被加密:
可执行程序是隐藏的,打开快捷方式之后显示了一张图片:
但是木马程序已经在后台开始运行。分析快捷方式文件“12浓雾之息.lnk”,我们找到了一个文件名:
这是被快捷方式启动的木马程序,继续分析找到这个木马程序,它首先会调用命令行显示图片:
接着释放crossfire.exe文件和Release.dll文件到临时目录:
然后创建crossfire.exe进程:
crossfire.exe的主要功能是修改Release.dll的前两字节,并且在内存中加载Release.dll。
Release.dll经过修改之后,是一个加密的dll文件,
里面有木马的主要功能:
1、遍历检测杀毒进程
2、查找游戏相关的信息
3、获取键盘信息
4、联网下载文件
5、接受远程指令,开启3389,接受远程控制等
其中会判断3389是否开启,以及安全狗防护页面等
由于具备了完整的远控和盗号功能 ,根据远控的域名信息 a19931108.com ,进一步分析牧马人信息:
通过搜索1030889799@qq.com,我们找到了该QQ号的受害者以及牧马人的相关信息:
根据木马查杀数据,从2月初到3月,该盗号远控木马已活跃了一段时间,主要通过游戏平台和聊天软件文件传输进行传播。
在此提醒游戏玩家,电脑“文件夹选项”的设置一定要显示文件类型的扩展名,以免被木马文件的名称和图标迷惑;如果杀毒以后发现电脑反复感染病毒,建议使用安全软件“防黑加固”,防止远程端口被黑客控制利用。
* 作者:360安全卫士(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)