07月24, 2015

棋牌游戏的那些事儿

棋牌游戏知多少

棋牌游戏这类休闲游戏,很多人玩,人气不衰,而且由于默认存在这么一个机制:尽管游戏官方可能不允许现金交易,但是通过第三方交易手段,现实中的货币和游戏中货币是可以互相兑换的。这类游戏都含有赌博成分在里面,甚至有的本身就是赌博,容易让玩家沉迷其中,不能自拔,所以很多木马团伙就打这上面的主意。

木马作者大量购买域名,与官方棋牌游戏相似度极高,极具迷惑性,然后拿到正常游戏安装包,篡改或替换游戏文件。

通过二次打包官方游戏包,挂到自己的钓鱼域名上
比如这个,就是篡改了游戏的主文件,GamePlaza.exe,在导入表中添加了一个自己的dll文件名,这个一般就是木马文件。
当用户通过双击快捷方式,点起了GamePlaza.exe之后,GamePlaza就会在启动的时候加载木马文件到内存空间。

1

此时木马dll获得了执行权限,开启线程,等待用户的下一步操作。

2

当用户在游戏登陆框下输入自己的账号和密码时候,木马偷偷记录这些数据,然后将这些数据加密,迷惑性的发送出去。

3

然后根据判断直接将加密后的数据发送到木马服务器上

4

Kick猜测是记录用户点击时候的快照数据,除了这个Kick外,还有其他类型的数据记录。

这类木马主要就是窃取账号和密码,还有游戏中保险箱密码。木马团伙在拿到相关账号和密码后,就可以经行下一步的操作了,洗劫用户的游戏币,变卖现金。

另外一种作恶的手段就是利用远控木马,远控的手段也有多种,常见的一般以白利用为主。

比如篡改主程序,利用autoit将脚本打包成可执行文件,当双击打包后的文件时候,执行脚本里面的内容,完成白利用远控木马的启动。

5

根据线索,可以在bb目录下找到白利用的文件及其组件和木马。

6

这里面的木马文件就是API.dll以及GameClient.dll,前者是个PE文件,后者则是个加密后的数据文件。

API.dll被加载到暴风进程空间后,借助一些函数(如GetModuleFileNameA, PathRemoveFileSpecA等),找到GameClient.dll

7

拼接字符串获得目标后,然后读取其数据文件到内存,

8

然后解密

9

解开后可以看到是个明显的PE结构

10

这个是才是真正的木马。

木马以域名上线方式,同时伪造http协议,增加迷惑和隐蔽性。

11

这也是常见的远控木马手法也是最恶劣的手段,利用远控,木马团伙基本上就可以为所欲为了,比如偷窥屏幕,赢取玩家手中游戏金币,强制玩家认输,逃跑等。

除此之外,木马作者还可能伪装官网客服,骗取用户信任,从而获得用户的敏感信息。

目前的棋牌游戏中,比如贝贝游戏,集结号游戏中心,辰龙游戏,56y棋牌游戏中心,91Y棋牌游戏中心,88369游戏中心,凤凰山庄游戏中心等等都发现过这些钓鱼木马。

此外还有一个现象就是,可能有多家公司同时在运营相同名字的游戏,这样鱼龙混杂,很容易让钓鱼和山寨的团伙混淆在其中,从而侵害普通网民的利益。

本文链接:http://blogs.360.cn/post/youxiqipai.html

-- EOF --

Comments