大家好,又见面了,我是你们的朋友全栈君。
一、样本简介
样本是吾爱激活成功教程论坛找到的,原网址:https://www.52pojie.cn/thread-991061-1-1.html, 样本链接: https://pan.baidu.com/s/1s6-fa6utvkFJsqQRTCT_fA 提取码: tptf
此盗号木马伪装成QT语音安装文件,在开黑时,发给受害者,受害者点击后,qq账号和密码,steam账号和密码会被窃取。
二、现象描述
点开样本后,表面上感觉不到任何事情的发生,实际上内部做了很多事情。
三、样本信息 MD5值:a835a69b4ef12a255d3d5b8c5d3f721c SHA1值:201566a7f058d8147bb29486a59151fc7240d04f CRC32校验码: eb6e36f1
四、样本分析
1)、运行后,样本会进行几个注册表的操作,主要为以下操作
然后创建文件waxe.exe,写入数据到文件里,文件里的数据都在只读数据段,0x0047D5A4开始,大小为0x86000。
启动新进程waxe.exe
2)、将文件Waxe.exe移动到C盘Temp目录下,并将文件属性设置为隐藏,删除C:WindowsWaxe.exe文件。启动Temp目录下的文件,创建新进程。 到这一步为止,病毒一直在移动自己的位置,并不断启动新进程。目的是隐藏自己。在新的进程里,病毒开始执行盗号逻辑。 3)、通过地址为0x0042D839的函数进行提权,用到的函数都是通过GetProcAddress获取的
4)、设置定时器,不断尝试从地址 http://43.248.186.95:90/exe.txt 下载文件。目前该地址文件已被标记危险网站,无法下载了。
5)、遍历进程找到名为steam.exe的进程。结合原先病毒的传播方式,大概率会找到此进程。
然后通过地址为0x430C40的函数,搜索注册表,找到steam路径。
找steamclient模块
然后读取该模块里的内存,这一步像是暴力搜内存,搜steam账号和密码。
6)、接着再C:目录下创建了version.dll。往里面写入了数据,并设为隐藏文件。 version.dll用做dll劫持,只要任何程序加载该dll就会调用里面的函数。
Version.dll加了upx壳,脱壳后,搜字符串
可以看到是通讯的,可以猜测这个dll,主要负责将收集到信息发送给作者。
7)、程序接着通过地址为0x4311C6的函数进行QQkey盗号,接着通过qq邮箱改steam密码
向远处服务器请求,获取到pt_local_token参数
带着` pt_local_token`,对本地端口进行请求,获取所有账号信息
for循环分析每个账号信息,
带着pt_local_token以及账号对本地端口进行请求,获取指定账号的clientkey
带着包含clientkey的cookie向远程服务器进行登录,就可以获得登录的Cookie(包含skey字段)。
最后通过上面生成的dll,通过dll劫持上传这些信息。
五、总结
作者通过暴力搜内存获取steam账号和密码,再通过qqkey获取qq账号。有这些信息就可以盗取用户的steam账号了。
用户可以考虑steam账号绑定非qq邮箱,从而避免此类危险。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/159468.html原文链接:https://javaforall.cn
