病毒被传毒者藏在小游戏中,分享在wallpaper壁纸引擎上,造成去年9月和11月两次steam大规模盗号。最近该传毒者又再次出现,由于手法没变被网友认出,老款病毒也被迅速举报、被多家杀毒软件报毒。可该传毒者改了个名,依然在继续上传游戏资源。分析了新的游戏资源后,发现病毒进行了更新。
老款病毒为单个exe文件,而新款病毒被拆分成多个文件混在游戏文件内,让普通网友难以分离举报,所以我只能将游戏和病毒一起上传了。
文叔叔链接c.wss.cc/f/glg7r936yyd
压缩包密码:YY
已知该资源病毒启动项藏在LensLifeData/Plugins/Translate.exe,启动游戏会同时启动该程序。
老款病毒在360隔离沙箱内启动后会瞬间报毒。而新款病毒在沙箱内启动后却并不会报毒(为了保证安全我勾选了禁止沙箱内程序联网),沙箱的程序列表显示tasklist、findstr。和老款病毒行为一致,是findstr steam.exe,貌似是检测电脑是否安装steam,否则不会继续之后的盗号步骤。盗号方法据网上讨论推测,应该是通过降低steam至老版本,盗取老版本的ssfn登录授权文件,完成的盗号。
另外在病毒更新后,原本老款病毒报毒的杀毒软件,新款病毒却不报毒了。只有卡巴斯基扫描显示,每个带病毒的游戏资源都有个library.zip压缩文件内部报毒。
下面是本人和网友测试出的截图
|
|
|
|
|
|
|
京公网安备 11000002002063号
京ICP备08010314号-6 Copyright©2005- 360.com 版权所有 360互联网安全中心
安全卫士
极速浏览器
360壁纸
360摄像机
纳米AI搜索
手机卫士
评论
直达楼层