近期,360安全大脑截获到一批盗号木马“亡刃”,该木马从2018年12月开始传播,近半年来一直保持着很高的活跃度,感染用户机器达到上万台。
“亡刃”盗号木马伪装成“迅游加速器”,“陌陌语音”,“腾讯免费加速器”,“变声器”等多种小程序通过qq群进行传播:
在感染用户机器后,木马会盗取用户的Steam账号密码,盗取集结号游戏,辰龙游戏,850游戏插件的配置文件,同时还会记录用户的键盘记录,盗取QQkey等,整体病毒流程如下:
技术分析
病毒运行后,创建下列线程分别执行不同的病毒逻辑:
创建一个线程设置Rememberpassword的值为0,使得用户每次登陆游戏都需要输入账号密码:
然后遍历进程,结束正在运行的steam相关进程,强迫用户重新登陆,以执行盗号逻辑:
然后继续遍历进程,当steam.exe进程再次启动时,将资源中的steamHK通过DLL注入的方式注入到steam.exe进程中执行,相关注入逻辑如下:
steamHk.dll通过内联挂钩的方式挂钩vstdlib_s.dll动态库的V_strnc++py函数,该函数会在用户输入密码时被steamUI.dll调用,病毒通过hook该函数,拦截用户输入的账号密码等参数。
过滤账号密码的函数如下:
最后将截取到的账号密码保存到Steam安装目录下的A.txt中。
创建一个线程将A.txt中的账号密码,以及ssfn授权文件等发送到http[:]//104.143.94.77/nc/n/getfile1.php:
创建一个线程将资源中的病毒文件server.exe释放到系统目录下执行:
server.exe在内存中解密并加载动态链接库flyboy.dll,并调用其导出函数Host(),代码如下:
相关的解密逻辑如下:
flyboy.dll会创建一个线程解密资源中的C&C服务器地址,并尝试连接,线程功能与旧版的Gh0st远控类似。然后将server.exe拷贝到随机目录下并注册为自启动项。检测Rstray.exe和KSafeTray.exe等安全软件进程,通过Vmware的后门指令检测当前运行环境是不是虚拟机,当确定运行环境安全时,则会创建一个线程去C&C服务器下载并执行棋牌类游戏盗号模块,整体的代码逻辑如下:
下载的1.exe会将资源中的work.dll释放到Temp目录下,并注册到Remoteaccess服务项当中,最后调用rundll32.exe执行病毒动态库的XiaoDeBu导出函数,代码逻辑如下:
work.dll会记录用户的键盘记录,先获取当前活动窗口,并记录窗口标题以及击键记录,将其保存到Luck.ley文件中:
盗取集结号游戏插件,辰龙游戏插件以及850游戏插件的配置文件:
以集结号插件为例:
最后会将Luck.key中记录的敏感数据进行异或0x62后发送到病毒作者控制的服务器上,相关逻辑如下:
安全建议
(1)对于安全软件提示风险的程序,切勿轻易添加信任或退出杀软运行。
(2)360安全大脑已查杀“亡刃”盗号木马,受影响的用户可以前往weishi.360.cn下载查杀。
