棋牌软件园--专注棋牌游戏和棋牌辅助第一站

分享到:
飞龙群(棋牌软件园)
您的位置:> 主页 > 使用教程 >

远控盗号木马伪装成850Game作恶

时间:2016-10-06 12:07来源: 原创 作者:飞翔的小鸟 点击:
近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下载。

前言

       近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌
游戏
850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户
下载。
 
         木马一旦入侵电脑,将盗用包括主机名、系统版本、磁盘信息、键盘操作信息等数据,
并进
一步实现窃取游戏账号及远程控制等恶意操作。
 
        

                                                            伪造的850Game钓鱼网站
 
木马伪装

 
      木马制作者将木马程序和游戏棋牌程序捆绑在一起进行传播,当用户开始安装后,程序
除了
在“C:\Program Files”下安装850棋牌游戏外,还会在C盘目录下创建一个隐藏文件
“$MSRecycle.Bin”,并在其中释放木马程序并将其执行起来。

      有了正常安装程序做“伪装”,该盗号木马可以在用户毫不知情的情况下侵入电脑。

    

    

木马分析


        “$MSRecycle.Bin”目录下的“TsiService.exe”执行后,会读取同目录下的“xp.ios”进
行解密再通过加载到内存中执行。

    

     


通过解密算法对“$MSRecycle.Bin”目录下“xp.ios”进行解密,我们就能得到木马程序。
 
    
 
                                                                     解密前

    

                                               
    解密后

遍历进程,检测杀软

   

   

连接CC地址:www.gam564.com,端口为19999


      

获取用户信息

   

获取主机名

  

                                             获取系统版本


通过cmd命令创建guest用户,并提升权限置管理员

      
 
通过将$MSRecycle.Bin”目录下的MicroRecycle.dll添加到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ras\AdminDll\dllpath中实现开机启动

    

    

获取键盘信息

   


     除了上面描述的行为外,程序还会开启计算机3389端口、远程接受命令、创建用户等
等行为,这里就不再赘述了。


  考虑到最近有大量用户反馈遇到很多这样伪装成棋牌游戏的站点,我们对上述伪造棋
牌游戏
的木马涉及的域名信息(gam850.com)继续进行追查,我们得到了该域名的所有
者的名称和联系
邮箱。
 
      

通过查询该邮箱进行邮件反查,得到这个邮箱关联的两个域名。

    

    

  而993game.com同样也是一个伪装成棋牌游戏的网站,下载的电脑版的游戏大厅程
序也是一
个木马程序,功能与gam850.com中的木马程序差不多,就不再重复了。整理前
面获取域名的信息
,我们将两个域名进行简单的关联:

   

  在后续的样本分析过程中,又发现一些网站同样是通过伪造成game850棋牌游戏进行
传播木
马程序,域名如下表:

   

    从gamebb.tw下载的850lobby.exe这个伪装成棋牌游戏的程序,它在执行安装的过程中
会先
在临时目录中创建正常的game850游戏安装包并将其执行,给用户一种程序正在正
常安装的假象

  

 
  其实,它在后续的过程中会在C:\\WINDOWS下释放一个木马程序,随后再利用创建
的vbs脚本
将自身删除。木马的主要主要行为:
 
连接CC地址:wuu.us
 
拷贝自身到C:\\WINDOWS目录,文件名为随机的6个字母。
 
  

添加DirectX服务项实现开机自启动,达到常驻受害者电脑的目的

  

创建vbs脚本将执行程序自身删除

  
 
遍历进程,检测杀软程序
联网下载文件

   


获取用户信息(主机名、系统版本、磁盘信息、用户名、CPU信息等等)
 
开启3389端口、键盘记录、远程接受命令、创建用户等等
同样的,我们也对by850.com下载的850lobby.exe进行了简单的分析,这个伪装棋牌游
戏的木马
 
程序主要行为有:
 
将植入远控木马的时间存
到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FSkcia 
msmaowaw中的MarkTime
 
    

通过在115.28.72.212:8080上下载正常的850棋牌游戏到C盘目录下并执行,伪造程序正在
正常安
装的假象。

    

将木马程序自身添加到启动文件夹中,实现开机自启

     


连接CC地址:www88369.com
 
遍历进程,检测杀软
获取用户信息(主机名、系统版本、磁盘信息、用户名、CPU信息等等)
开启3389端口、键盘记录、远程接受命令、创建用户等等
继续对这两个木马程序访问的两个CC地址进行追查得到这两个域名的注册人和注册邮箱
信息。

   

    


  而从木马的主要行为来看,这些伪造棋牌游戏的木马都比较相似,猜测这批伪装成
850棋牌
游戏网站的站点背后的操作者很有可能是同一伙人。
 
传播方式
 
  由分析可知,这一批木马程序都是通过伪装成棋牌游戏进程传播木马,现将这一批
伪装成棋
牌游戏的网站整理如下:

   

通过查询域名持有者的邮箱信息,整理得到这一批伪装成棋牌游戏网站的域名持有者邮
箱信息如



  通过整篇分析下来,我们发现这些伪造成棋牌游戏的木马所涉及的技术相当普通。
它们只不
过是幕后的那些操作者通过注册与正规棋牌游戏域名相似的域名,并将木马与
棋牌游戏捆绑在一
起上传到伪装成棋牌游戏的站点上诱骗用户下载。

   

        最后提醒广大用户,在上网时切勿轻易点击来历不明的邮件附件、网页链接以及推广
广告
等,同时要做好安全防护措施,不要轻易透露个人信息,切实提高防范意识和自防能
力,避免
成不必要的损失。
 
 

 

 

 
(责任编辑:admin)
顶一下
(1)
100%
踩一下
(0)
0%
------分隔线----------------------------
栏目列表
推荐内容