11月30, 2015

躁动的棋牌游戏们

前言

想来从1978年的《冒险岛》问世PC平台至今,电脑游戏来到这个世界上已经快有40个年头了。而如今受到页游和手游的冲击,传统PC游戏已经风光不再。但有一类游戏却在PC平台上始终坚挺,这就是我们今天的主角——棋牌游戏。个中原因不是我们这里需要深究的,然而这种异常的坚挺却带来的必然是树大招风——各种木马作者会纷纷瞄准这个市场,而这才是我们需要关注的焦点。

0x00 自我伪装

木马作者采取竞价排名推广,使虚假游戏中心网页在搜索结果中排在前面(一般情况下我们会认为排在第一个位置的就是官网了,但是这种虚假游戏中心网页往往前面几个都是假的。虽然该网址后面带有实名认证,但是这里提醒一下广大用户,在利用搜索的时候,带有实名认定的也不一定是没有问题的。)木马作者还高度模仿官网网址,制造一个虚假地址,

1

图1

0x01 混淆视听

带马网站的整个页面布局和官方网站的在视觉效果上是“一模一样”,不注意的情况下我们很容易就中招了。

2

图2

0x02 自我隐藏

经过分析比较后发现,从非官网下载下来的程序功能齐全下载回来的安装包除了多了一个dll以外其它一切都没做过改变。程序拥有正常程序的全部功能。木马作者将原来的WHSocket.dll文件重新命名为oriWHSocket.dll ,然后将自己的带有恶意行为的dll命名为 WHSocket

滴溜溜

木马文件WHSocket通过导出了与原WHSocket中相同的函数,使带有木马的游戏能和官网下载的游戏一样、图4还展示了WHSocket.dll的劫持手法

4

5

0x03 WHSocket.dll分析

1. 加壳保护

该木马通过劫持官网游戏中心的正常WHSocket.dll程序启动,原文件在原安装包中只有28kb大小,但是在带有木马的安装包中所占大小为1.9MB。分析时发现作者自己写了一个壳给文件加上。这里的目的就是逃避杀毒软件的查杀了。

3

2. 获取QQ号信息

该dll通过获取QQ的特有的类名 “5B3838F5-0C81-46D9-A4C0-6EA28CA3E942″来获取一段带有我们QQ号的字符串,格式形如:”qqexchangewnd_shortcut_prefix_QQ号”,在获取到字符串后,木马作者以”prefix_” 为界限,通过字符串的复制获取到QQ号

QQ-1

下面展示了为什么通过”5B3838F5-0C81-46D9-A4C0-6EA28CA3E942″类就可以获取到我们的QQ号。因为标题就是╮(╯▽╰)╭

QQ-2

下面这段代码就展示如何获得QQ号的过程

6

3. 获取被控端外网地址

从下图可以知道木马作者是通过建立TCP连接,来传送数据。

IP-1

木马作者将接受数据的服务器地址以十六进制的形式写在恶意dll中,通过讲十六进制数据转正成字符串获取到服务器地址

IP-2

然后通过与服务器进行数据交互,从而获取到被控制端的外网IP地址。

IP-3

IP-4

4. 获取游戏用户名和密码

通过查找游戏的主页面的类”88369game”来判断我们输入的用户名是否有效。如果找到游戏的主界面恶意dll才会发送用户的游戏账号和密码,如果没有查找到游戏的界面就不会发送

MI-1

MI-2

木马作者通过使用键盘记录来获取到我们输入的用户名和密码

MI-3

抓包到发送被控端的外网地址和我们的用户名还有密码。((o(╯□╰)o,可是密码居然是明文啊)

9

6. 远控

和远程控制端建立

LLL

连接远程桌面

LLL

0x04 总结

棋牌游戏这类木马不止是这个88369,还有很多类似的游戏被同过以上相同或者类似的手段进行处理了,比如前面我们发过的一篇报道集结号游戏的一篇文章,以及辰龙游戏、斗地主、三国赛马、港式五张、对杀妞妞、捕鱼达人等等游戏。大部分都是通过劫持dll,一般用来劫持的dll都是具有获取游戏玩家的用户名和密码以及后门功能。有了后门他想做的事情也就很多了。

0x05 防范措施

1.不要访问陌生网站,遇到360拦截的网站一定要立刻关闭。

2.从搜索里选择结果,一定要注意是否带有官网认证。

3.尽量选择大厂商的游戏,无论是平台可靠性还是安全防护措施都会更有保障

4.注意安全软件的使用,经常做安全检测是个好习惯。

本文链接:http://blogs.360.cn/post/restless_chess_games.html

-- EOF --

Comments