近期,360安全大脑监测到一款名为“LOL凯特盒子”的换肤软件,在后台偷偷下发刷量、盗号相关的木马病毒,其入侵范围主要包括QQ空间/兴趣部落回复,及QQ/WeGame帐号盗取。基于英雄联盟这款游戏庞大的用户量,该木马病毒的感染量目前已达到10万台机器,且在持续上涨。
360社区
LOL凯特盒子的官网
走进刷量、盗号木马局中局
幕后黑手一查到底
该LOL凯特盒子运行后,会从“天翼云盘”下载病毒程序Skin_GG1.zip(该文件并非压缩文件,而是32位可执行文件)。该执行文件除了给QQ空间和兴趣部落刷回复之外,还会利用动态资源库记录用户键盘记录,盗取用户帐号密码。
360社区
整体病毒攻击流程
下载完毕执行Skin_GG1.zip时,病毒会先从wu52q.cn/?c=Public&a=get_config获取如下的配置信息,并根据配置文件执行不同的病毒逻辑。
360社区
当goto_svchost字段的值为1时,病毒会将自身伪装成系统文件csrss.exe,并根据c1的值来判断是否下载云端链接d1,病毒作者可通过控制d1派发不同的病毒模块(不排除派发勒索、挖矿等恶性病毒)。图中此处配置对应下载的病毒模块z3ydemw7.cfg是一个通过弹窗替博彩网站引流的程序,完整病毒逻辑如下:
360社区
刷量
当执行完上述步骤之后,就进入刷量的主流程。Skin_GG1.zip从wu52q.cn/?c=Public&a=get_task获取刷量配置,其中cont字段中保存要回复的内容,然后利用QQ快速登录协议的缺陷,伪造相关的请求包进行刷量:
360社区
测试过程中发现是替“腐女部落”,“耽美部落”等兴趣部落刷回复,此外在代码逻辑中还看到刷QQ空间回复的相关代码逻辑。
360社区
盗号
Skin_GG1.zip资源中携带盗号的动态库Win32Dll.dll,调用其导出函数_E(),开始执行盗号逻辑:
360社区
Win32Dll.dll会释放一个病毒驱动ctrl2cap64.sys到%temp%目录下加载,该驱动是一个键盘记录器,可以从应用层通过DeviceIoControl()发送不同的控制码来控制驱动监视键盘记录,驱动文件信息如下:
360社区
不同的控制码对应的功能如下:
360社区
Win32Dll.dll在检测到当前窗口是QQ或者WeGame的窗体时,就发送0x0x222004监听键盘记录,记录完成后发送0x222010读取记录的数据,并将其发送到C&C服务器,代码逻辑如下:
360社区
互联网流量为王时代
如何深度打击黑产木马,破局而出?
互联网时代,流量为王,在利益的驱动下,刷量木马、盗号病毒已经进入互联网世界的肌理,甚至已经逐步产业化、商业化,形成了庞大的黑产链条。在这个黑产链条里,分工明确,有人负责病毒制作,有人负责木马销售,有人负责黑产利润处理,中招用户损失巨大。为避免该类病毒木马感染范围进一步扩大,360安全大脑建议广大用户做好以下防御措施,保护个人隐私及财产安全。
(1)避免使用未知安全性的软件,如破解程序,游戏辅助,外挂等;
(2)遇到安全软件报毒的程序,切勿随意添加信任运行;
(3)使用过LOL凯特盒子的用户,建议尽快修改QQ密码,并定期更换;
(4)360安全卫士可有效拦截该类病毒木马,用户可下载安装360安全卫士,抵御各类病毒木马攻击。
360社区
|
评论
直达楼层