“听说你爱我”网游盗号木马追踪过程分析

近期有玩家反映游戏遭木马盗号，并发现黑客就像阴魂不散一样随时都能控制电脑。根据网友反映的样本信息，360QVM团队进行分析，发现该木马以内存加载和恢复恶意代码的方式来躲避查杀，同时它还会开启3389端口并增加一个管理员帐户，使盗号者能够随时远程登录受害者电脑，即使木马被查杀也极易再次中招。

木马一共有四个文件，一个快捷方式，三个隐藏属性的文件，分别是一张图片，一个exe文件和dll文件，exe程序被加密：

可执行程序是隐藏的，打开快捷方式之后显示了一张图片：

但是木马程序已经在后台开始运行。分析快捷方式文件“12浓雾之息.lnk”，我们找到了一个文件名：

这是被快捷方式启动的木马程序，继续分析找到这个木马程序，它首先会调用命令行显示图片：

接着释放crossfire.exe文件和Release.dll文件到临时目录：

然后创建crossfire.exe进程：

crossfire.exe的主要功能是修改Release.dll的前两字节，并且在内存中加载Release.dll。

Release.dll经过修改之后，是一个加密的dll文件，

里面有木马的主要功能：

1、遍历检测杀毒进程

2、查找游戏相关的信息

3、获取键盘信息

4、联网下载文件

5、接受远程指令，开启3389，接受远程控制等

其中会判断3389是否开启，以及安全狗防护页面等

由于具备了完整的远控和盗号功能 ，根据远控的域名信息a19931108.com，进一步分析牧马人信息：

通过搜索1030889799@qq.com，我们找到了该QQ号的受害者以及牧马人的相关信息：

根据木马查杀数据，从2月初到3月，该盗号远控木马已活跃了一段时间，主要通过游戏平台和聊天软件文件传输进行传播。

在此提醒游戏玩家，电脑“文件夹选项”的设置一定要显示文件类型的扩展名，以免被木马文件的名称和图标迷惑；如果杀毒以后发现电脑反复感染病毒，建议使用安全软件“防黑加固”，防止远程端口被黑客控制利用。