Недавно 360 Total Security перехватили ряд хакерских троянов. Данный троян начал распространять с декабря 2018 года. Он поддерживал высокого уровени активность в течение последних шести месяцев и заразил десятки тысяч компьютеров.
Хакерский троянец «Мертвый клинок» распространяется через группу QQ , маскируя под «Xunyou Accelerator», «MoMo Voice», «Tencent Free Accelerator», «Voice Changer» и другие Мини- программы:
После заражения компьютера троянец похищает учетную запись и пароль Steam, крадет игру с номерами сборки, игру Хенлонг и файл конфигурации подключаемого модуля игры 850, а также записывает запись ключа пользователя, крадет QQkey и т. Д.. Общий вирусный процесс покажено следующим образом:
Технический анализ
Вирус создает следующие потоки для выполнения другой логики вируса после запуска :
Он создает поток для установления значения RememberPassword равным 0, чтобы пользователям приходилось вводить пароль учетной записи при каждом входе в игру:
Затем даный вирус выполнит итерацию процесса, завершит запущенный процесс, связанный с steam, и заставит пользователя снова войти в систему, чтобы выполнить логику взлома:
Затем он продолжает проходить процесс, когда процесс steam.exe запускается снова, steamHK в ресурсе внедряется в процесс steam.exe посредством внедрения DLL. Соответствующая логика покажена как ниже:
steamHk.dll перехватывает функцию V_strncpy динамической библиотеки vstdlib_s.dll посредством встроенных перехватчиков. Эта функция вызывается steamUI.dll, когда пользователь вводит пароль, вирус использует данную функцию для перехвата введенного пароля и других параметров.
Функция фильтрации пароля учетной записи покажена как ниже:
Наконец, вирус сохранит перехваченный пароль учетной записи в A.txt в каталоге установки Steam.
Вирус создает поток для отправки пароля учетной записи из A.txt и также файла авторизации ssfn в http [:] // 104.143.94.77/nc/n/getfile1.php:
Создается поток, чтобы выпустить вирусный файл server.exe из ресурса в системный каталог для выполнения:
Server.exe в памяти дешифрует и загружает динамическую библиотеку flyboy.dll и вызывает функцию экспорта Host () со следующим кодом:
Соответствующая логика расшифровки выглядит следующим образом:
Flyboy.dll создаст поток для расшифровки адреса C & C-сервера в ресурсе и попытает подключение. Функция потока аналогична старому дистанционному управлению Gh0st. Затем он скопирует server.exe в произвольный каталог и зарегистрирует его как самозапускающийся элемент, и определит Rstray.exe и KSafeTray.exe и другие процессы обеспечения безопасности и использует команду backmor от Vmware, чтобы определить, что является ли текущая работающая среда виртуальной машиной. При определении безопасности рабочей среды создается поток для загрузки и запуска модуля взлома шахматной игры. Общая логика кода выглядит следующим образом:
Загруженный файл 1.exe выпустит файл work.dll из ресурса в каталог Temp и зарегистрирует его в элементе службы RemoteAccess. Наконец, выполняется rundll32.exe для выполнения функции экспорта XiaoDeBu динамической библиотеки вирусов. Логика кода выглядит следующим образом:
Work.dll записывает кейлоггеры пользователя, сначала получает текущее активное окно, записывает заголовок окна и нажатия клавиш и сохраняет его в файл Luck.ley:
Похищение игрового плагина сборки, игрового плагина Chenlong и файла конфигурации игрового плагина 850:
Возьмем плагин сборки в качестве примера:
Наконец, конфиденциальные данные, записанные в Luck.key, будут X0 или 62 и отправлены на сервер, контролируемый автором вируса. Соответствующая логика покажена в следующем:
Рекомендация по безопасности
(1) Не легкомысленно добавьте к доверию программы, которое используется в качестве вируса, и не выйдите из режима работы антивируса.
(2) 360 Total Security убивает хакерского трояна «мертвый клинок», пострадавшие пользователи могут зайти на сайт www.360totalsecurity.com и загрузить его.
