【外挂分析】Steam盗号木马告警

Gslab

近期，笔者所在的QQ群有多名网友反馈Steam账号被盗或者冻结，疑似中了盗号木马笔者无意往前翻群聊天记录，发现疑似群内有人故意传播盗号木马


该网盘以免费分享收费的辅助破解版为噱头，吸引了大量的想要尝试神秘力量的网友中招这些欲使用辅助的网友既是受害者，又是未遂的加害者 这里我们随便找一款辅助来测试一下是否真的是因此网盘盗号（以网盘内千里眼插件测试） 下载后解压，然后运行，发现报错， 通过分析得知，木马释放器伪装成原辅助名字，运行后释放到： C:\Users\Administrator\AppData\Roaming目录下 一个是真正的插件，一个是未知的文件 mm.exe（实际为Steam盗号木马）
这里，我们将报错的原文件放回文件目录，此时游戏辅助可以正常启动，这里已经提示更新了，当然这不重要 捆绑木马的人可能根本没认真看过原程序，导致连过期的程序都没法跑起来

再来看看mm.exe这里推荐一下火绒剑，UI很友好，分析很方便， 过滤进程只捕获mm.exe的事件过滤事件，我们先看看联网干了些什么

访问了两个网址： http://66.11.117.198/n/getinfo.php?name=384871

http://66.11.117.198/n/readGmail.php?name=384871

到了这里基本上可以确定这个mm.exe就是Steam盗号木马本尊了 由上面的信息，笔者推断，此盗号木马已形成产业链，上面的信息文本是给下级传播者的后台公告，下面的则是此网盘木马客户端的后台，负责控制接受QQ邮件，在用户激活木马利用邮箱key漏洞接受受害者所有邮件，这里特别指明一点：一般用户的Steam账号都是QQ邮件，当盗号者进入受害者的邮箱后是很容易盗取受害者的Steam账号的

产业示意图


该木马还会修改注册表启动项，伪装微软安全验证骗过一些没有经验的用户达到循环盗号

此木马还有对键鼠下钩子的操作，这里可以使用哈勃/魔盾来分析 在笔者准备使用静态分析技术解剖此病毒时，发现腾讯电脑管家可以精准查杀此木马，所以本次分析就到此为止

有点意外的是，QQ群内被盗号的同学，开启了火绒缺没有捕捉到此木马， 经测试，火绒确实无法查杀此木马，版本号：4.0.69.13 （非水军，实验后证明）

总结： 现阶段的杀毒软件保护技术已经日趋成熟，病毒木马的存活空间越来越窄，作为游戏玩家，使用游戏辅助外挂必将受到游戏Anti cheat的惩罚，更不应该听信这些所谓的免费外挂，维护网游环境，人人有责。 关于Steam账号安全防护的几点建议： 1. 设置QQ邮箱独立密码2. Steam账号绑定手机令牌3. 拒绝使用未知来源的游戏外挂


来源：飘—投稿
*转载请注明来自游戏安全实验室（GSLAB.QQ.COM）

Hmily

建议腾讯官好好分析下这个木马到底怎么盗号的。如果猜得不错，这应该就是盗QQskey，然后用QQ邮箱扫Steam账号的，腾讯什么时候可以把QQskey这大坑给填一填，或者最起码把QQ邮箱安全性增加一下，不要拿到QQskey就无所谓不能的操作QQ邮箱了，二次验证也成了摆设。最近这种木马非常多，并且都搞成生成器了，一个小学生都能用生成器加个捆绑器去盗号了。

ZGQTEL

学习了,大佬。

babyxinloveyou

感谢大神分享。填上没有免费的馅饼啊

520dman

外挂基本上都能盗号的，看作者心情

KEEPmmm

事实证明，充钱才能使你强大。外挂~~~

JusonR

@此生长唸

yjh_b

你电脑上的火绒版本是最新的吗

SN1t2lO

Hmily 发表于 2018-9-21 14:55
建议腾讯官好好分析下这个木马到底怎么盗号的。如果猜得不错，这应该就是盗QQsky，然后用QQ邮 ...

是QQKey吧老大？

Hmily

SN1t2lO 发表于 2018-9-21 15:18
是QQKey吧老大？

对，打丢了，我改下。