吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 273286|回复: 1133
收起左侧

BanID:wty927【发布软件添加盗QQkey后门】

     关闭 [复制链接]
Hmily 发表于 2018-8-21 15:31
BanID:wty927【发布软件添加盗QQkey后门】

1.png

今天凌晨收到@LX2222 的举报反馈被盗号
发布的加速器盗取账号信息
https://www.52pojie.cn/thread-785555-1-1.html

我们着手分析一下看看软件确实发现了问题,被添加了盗取QQkey的后门,通过拿到QQkey后任意操作QQ邮箱,来盗取Steam账号。

一:木马行为分析:
文件下载后发现大部分文件都带有网易的签名,只有ui.dll和uu_main.dll文件没有,经过分析ui.dll应该原版就有,只是被添加了一个区段,作用是引入一个导入表,自动加载uu_main.dll执行。

1.png
2.png

那问题就简单了,只需要判断uu_main.dll到底是安全的破解补丁还是盗号木马了?uu_main.dll本身加了VMP3的壳,关键代码也被虚拟化了,直接运行看看也没可以字符串,常规思路没有进展,那就变换思路继续看看,先让DLL在OD里跑起来看看有什么。

借助Wireshark(抓包工具)和SSM(主动防御工具)【爱盘都有下载】,可以看到程序请求多个网址和一个本地的请求(这点嫌疑最大,盗QQkey的都是本地请求)

a.png
b.png

上面的线索让我们关注到有几个网络请求,但字符串中也没看到网址,Wireshark看到的www.liuqiang6666.xyz:8080网址就很可疑,加上还有一个本地请求,我想看看代码到底是写的什么,字符串加密了?

直接在程序一些网络函数api下端,发现HttpSendRequestA可以中断,不看不知道,一看还真是访问本地QQkey的请求:

c.png

进一步验证了猜想,到这里就简单了,继续分析,看看QQ这个URL哪来的,之前并没搜到,通过分析,原来URL前半部分是加密存的,运行解密出来:

d.png

既然把字符串加密了,也找到了解密的地方,那就直接在解密的地方下个断点,看看都解密了啥东西,不出意外,解密的全是和盗号有关的信息(只贴部分,还有很多加密的未贴):

http://www.liuqiang6666.xyz:
http://localhost.ptlogin2.qq.com:4300/pt_get_uins?callback=ptui_getuins_CB&r=0.7478418888058513&pt_local_tk=0.3858416392467916
TCP发信
360tray.exe
HipsMain.exe
火绒剑.exe

虽然木马把关键代码都VM掉了,我们依然可以从行为和部分代码进行分析判断出是盗号木马,如果我本机登录QQ,应该就可以触发到盗号发信的过程,后面就不演示了,欢迎大家跟进分析。

木马下载地址以及相关文件MD5:
hxxps://www.lanzouj.com/i1k96ja (完整木马包)
uu_main.dll MD5: 57FC3BFE48069ECBA7F538CAC3EE55D1

二:木马防范

最近有很多人心生邪念,走入歧途,发布软件捆绑盗号木马,本帖中的木马已经从简单的捆绑走到了劫持加载,前段时间还看见有人直接添加区段,使用内存直接加载木马运行的,盗号手段也在日益更新,恰好论坛有来自各种安全公司的技术大牛,还有热爱安全的热心会员,在大家的帮助下我们可以第一时间发现危险并进行处理。(其实很多大家在没看到帖子的时候就已经在后台被管理发现处理,详见小黑屋。)

大家在使用程序时候建议安装安全软件,比如这个木马,360和QQ管家都能查杀(恩,第一时间我们就直接给官方推送查杀了),切忌使用的时候退出安全软件(木马才会说自己没毒,让你退出杀毒软件)。

Steam账号不建议使用QQ邮箱绑定,建议更换其他邮箱,如果非要用,QQ邮箱也应该加上一个独立密码(不太了解机制,是不是也没卵用?)。

如果你论坛账号使用QQ邮箱绑定了,建议登录设置安全验证问题!

最后如果你已经被盗或者使用过这个程序的,尽快修改QQ密码,并检查QQ邮箱设置中是否被设置转发规则等,防止再次被盗!


三:后话

虽然论坛有很多高手,但我们希望提高所有人的安全意识和识别能力,看上述我的分析,你是不是也想来试试?

大家对于新注册会员发布的内容请多加注意,有能力分析出问题的可以帮助我们尽快举报,大家合力保卫论坛安全。

想对那些心怀不轨的人说,你在吾爱破解这样的技术论坛玩这种小伎俩,分分钟就给你剥皮把肉看得清清楚楚了,这里都是活跃在互联网安全界的精英,任何小动作都是自讨苦吃,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!

最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!

点评

见过很多 Steam 帐号被盗后被游戏封禁的案例(绝地求生游戏作弊),确实就是通过绑定的 QQ 邮箱 盗取的。强烈呼吁谨慎绑定 QQ 邮箱,不安全因素太多了。  发表于 2018-9-22 14:16
电脑从来不挂QQ 登录论坛都是手机扫一扫  发表于 2018-9-2 22:50
心怀不轨的人在角落瑟瑟发抖。。。我就说我咋从不被盗QQ 原来我好久没上过QQ了 哈哈  发表于 2018-8-25 18:36

免费评分

参与人数 700吾爱币 +647 热心值 +647 收起 理由
乔峰任我行 + 1 + 1 谢谢@Thanks!
halfasun + 1 + 1 用心讨论,共获提升!
新手小码农 + 1 + 1 我很赞同!
wsygbda + 1 + 1 我很赞同!
iopr + 1 + 1 我很赞同!
季布茜 + 1 我很赞同!
mlwy + 1 + 1 我很赞同!
ptlantu + 1 + 1 谢谢@Thanks!
9846919 + 1 用心讨论,共获提升!
油师shany + 1 我很赞同!
雾踏青云 + 1 我很赞同!
dbn17636500108 + 1 我很赞同!
asdlion + 1 + 1 我很赞同!
zxcslove + 1 + 1 谢谢@Thanks!
Chuba + 1 + 1 我很赞同!
虞珂啊 + 1 + 1 感谢您,受教了!
jimzhang023 + 1 我很赞同!
morumeng + 1 我很赞同!
巍澜可期 + 1 + 1 谢谢@Thanks!
wst12341235 + 1 + 1 热心回复!
ou201614125 + 1 + 1 我很赞同!
cecesilly + 1 + 1 我很赞同!
差点变帅 + 1 我很赞同!
gongtingliuliu + 1 我很赞同!
wapj16058 + 1 + 1 我很赞同!
1000001000 + 1 + 1 我很赞同!
w0r1d3e + 1 + 1 我很赞同!
superBBQ + 1 我很赞同!
aszp1 + 1 + 1 我很赞同!
情何以堪aa + 1 谢谢@Thanks!
kim2223 + 1 我很赞同!
ajajaj + 1 + 1 谢谢@Thanks!
dickenshms + 1 + 1 我很赞同!
kuangliming + 1 + 1 我很赞同!
meishijiemeimei + 1 + 1 我很赞同!
小雨爱虾米 + 1 + 1 谢谢@Thanks!
虚无的饭 + 1 + 1 我很赞同!
青零青零 + 1 + 1 热心回复!
momuma + 1 + 1 我很赞同!
bens + 1 + 1 热心回复!
atgused + 1 我很赞同!
UN2758 + 1 + 1 我很赞同!
fanjianwei + 1 + 1 我很赞同!
Jackson丶Wu + 1 + 1 谢谢@Thanks!
ZXTC + 1 + 1 谢谢@Thanks!
yejunapd + 1 + 1 我很赞同!
肥行 + 1 + 1 我很赞同!
jeff + 1 + 1 我很赞同!
zmikle + 1 我很赞同!
37274490 + 1 + 1 你在吾爱破解这样的技术论坛玩这种小伎俩,分分钟就给你剥皮把肉看得清清楚.
wurush + 1 + 1 谢谢@Thanks!
sjq829 + 1 + 1 用心讨论,共获提升!
ado1025 + 1 + 1 我很赞同!
啤啤虾 + 1 + 1 我很赞同!
幽暗沼泽之光 + 1 + 1 谢谢@Thanks!
OUTSIDER123 + 1 + 1 我很赞同!
我的石头最叼 + 1 + 1 我很赞同!
jovanbu + 1 + 1 我很赞同!
fx666 + 1 + 1 我很赞同!
huaji23333333 + 1 + 1 热心回复!
虞美人草 + 1 + 1 我很赞同!
yy17312 + 1 + 1 我很赞同!
AlanChen + 1 + 1 好样的
48973312 + 1 + 1 谢谢@Thanks!
demonxf + 1 + 1 我很赞同!
水皮 + 1 + 1 谢谢@Thanks!
九死一生 + 1 + 1 我很赞同!
时光碎片 + 1 + 1 我很赞同!
厂子777 + 1 我很赞同!
小麻雀300 + 1 + 1 我很赞同!
叉叉学破解 + 1 + 1 谢谢@Thanks!
aivv + 1 + 1 我很赞同!
seaseeyoul + 1 我很赞同!
Wolts + 1 + 1 谢谢@Thanks!
whq0000000 + 1 + 1 谢谢@Thanks!
rianwg + 1 + 1 我很赞同!
段子界的孔子 + 1 + 1 肌肉男牛批
vippp + 2 + 1 能不能把坏蛋抓过来弹JJ,或者割
dogbutcat + 1 + 1 谢谢@Thanks!
wwwio + 1 + 1 谢谢@Thanks!
Tom_Kenny + 1 + 1 热心回复!
乱の舞 + 1 + 1 我很赞同!
淡定定定哥 + 1 + 1 我很赞同!
qiaobaba + 1 我很赞同!
锅锅有点懒 + 1 + 1 我很赞同!
阿瞒营销 + 1 我很赞同!
liaojacku + 1 + 1 我很赞同!
fffsky + 1 + 1 感谢大神出手!
初音未来 + 1 我很赞同!
e1036 + 1 + 1 我很赞同!
N_Gai + 1 + 1 我很赞同!
52113141111 + 1 + 1 我很赞同!
靓仔胖哥 + 1 + 1 我很赞同!
落寞的回忆 + 1 + 1 谢谢@Thanks!
xiaozhushunian + 1 + 1 谢谢@Thanks!
七年明月如霜 + 1 + 1 我很赞同!
dupeng0720 + 1 + 1 我很赞同!
kuersi + 1 用心讨论,共获提升!
痞盟小英雄 + 1 我很赞同!
丁郁非 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Hmily 发表于 2018-9-30 11:23
20180929发现新的变种,这次用的是巡游,依然易语言写的木马,大概流程:给xunyou.exe添加了一个导入表加载xunyoutt.dll,xunyoutt.dll会有一些判断,判断成功后加载木马config\xydata.txt(非PE)解密并内存执行核心木马文件,核心就是盗QQskey的,和之前一样,但木马作者看了本帖,把更多的代码加了VMP保护,字符串加密的地方也更多了,但木马就是木马,我一眼还不是就看出来你?(这回复帖子木马作者肯定也能看到,和主题贴一样木马作者看过一样,劝你迷途知返,你不知道有关部门现在要干什么了吗?)

木马推广下载地址:https://www.lanzouj.com/i1zfg0h

xunyou.exe MD5: 03D81211A9DA927250ADADC098E1D73D
xunyoutt.dll MD5: 673B8664E985D07FC7A1AC10DD127845
xydata.txt MD5: 31D4A8D172AABA992202D9BC75BE9C23

木马接收盗号信息域名:http://www.bb95663.xyz (木马本帖解析出IP:115.144.238.222)

内存解密后的核心木马DLL:
xy_main.7z (1.13 MB, 下载次数: 991)

点评

奉劝这个木马作者迷途知返 论坛里的大牛比比皆是 要撸出你具体是哪位 并提供给公安的话 太简单了  详情 回复 发表于 2018-9-30 11:32

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
x854363956 + 1 + 1 通过给的域名我查询出来相关的信息 一. 这个VPS是在https://sg.godaddy.co.

查看全部评分

x854363956 发表于 2018-10-21 23:09
Hmily 发表于 2018-9-30 11:23
20180929发现新的变种,这次用的是巡游,依然易语言写的木马,大概流程:给xunyou.exe添加了一 ...

通过给的域名我查询出来相关的信息
一. 这个VPS是在https://sg.godaddy.com/zh/hosting/web-hosting进行购买的
作者的QQ号码是346711886
作者的手机号码是13203135617
作者本人的地址在   湖南长沙  其他我就不想在透露了
作者名字叫  ****坚                   不透露太多
这些信息足够可以逮你好机会了,本来不想查的,犯我吾爱者......

有兴趣的人可以继续往下挖

点评

92年,吴坚  发表于 2019-2-15 11:05

免费评分

参与人数 9吾爱币 +9 热心值 +9 收起 理由
DF-41 + 1 + 1 我很赞同!
zhfan + 1 + 1 我没话说了,只能给你一个吾爱币和一点热心值
寻梦小生 + 1 + 1 这也太秀了8
锻炼才能长肌肉 + 1 + 1 干的漂亮!
无名i + 1 + 1 我很赞同!
asd5126568 + 1 + 1 哇 大牛哥 厉害呀
js6835677 + 1 + 1 热心回复!
ab10012358 + 1 + 1 热心回复!
天使的爱 + 1 + 1 谢谢@Thanks!

查看全部评分

thy2019 发表于 2018-8-21 16:05
怀旧下  记得好多年前 Hmily 帮我做过一个破解寻仙的视频 那年52一直缺少经费  我的老账号还没冻结 52还有群
烟99 发表于 2018-8-21 16:19
天网恢恢,疏而不漏。请木马制造者不要低估论坛大牛的能力,以身试法,你做的一切事情必将留下蛛丝马迹,你的小伎俩在高人面前或许只是一些皮毛。

另外我提醒广大会员,提高一下自己的防范意识,特别是xx加速器、xx原创辅助要特别小心,木马制造者常常已这些东西作为诱饵,来盗取你的账号,造成难以估量的损失。如果需要使用加速器、原创辅助等软件,建议各位会员先浏览一下回复,然后再决定是否下载,账号的密保要完善,比如使用Gmail等安全系数较高的邮箱,开启密保问题等。

免费评分

参与人数 2吾爱币 +1 热心值 +2 收起 理由
82085844 + 1 之前就在52下了个群发的,qq邮箱给盗了导致苹果给硕。上来发帖老大还骂我黑.
mutou666 + 1 + 1 见过别人说不要用qq邮箱,没想到安全性这么差...

查看全部评分

jw8013 发表于 2018-8-21 15:36
很多人都喜欢说多少多少钱从某宝买的,然后再发到论坛,之后就好像一副事不关己的样子!
pwwm 发表于 2018-8-21 15:43 来自手机
支持严惩盗号的,特别是在吾爱发木马的
雾雨 发表于 2018-8-26 15:26
哇,这个要是发布到其他论坛里面估计大部分人都会中招,还好吾爱大佬多,一下就发现问题,支持!!!
denglongdehaoya 发表于 2018-8-21 15:50
是不是免费用UU加速器吃鸡的意思?
mimease 发表于 2018-8-21 15:58 来自手机
在吾爱这种大神云集的地方发木马就是作死
wdllp123 发表于 2018-8-21 15:34
第一板凳?  话说最近杂这么多盗QQkey的
 楼主| Hmily 发表于 2018-8-21 15:39
再贴一个前几天看到的同样手法的样本MD5:E577DE76E3B090F01AC174D50D796104
域名:http://www.tt562669.xyz:8080
圣母皇太后 发表于 2018-8-21 15:39 来自手机
我一般只用outlook邮箱
cqghost 发表于 2018-8-21 15:42
感谢大神让我们免灾害
愚无尽 发表于 2018-8-21 15:46
老大威武 处理这类败类绝不手软
头像被屏蔽
Zero__Lee 发表于 2018-8-21 15:49
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 提醒:禁止复制他人回复等『恶意灌水』行为,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 22:38

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表