吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.ycnqhj.icu

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 220156|回復: 1133
上一主題 下一主題

BanID:wty927【發布軟件添加盜QQkey后門】

     關閉 [復制鏈接]
跳轉到指定樓層
樓主
Hmily 發表于 2018-8-21 15:31 回帖獎勵
BanID:wty927【發布軟件添加盜QQkey后門】



今天凌晨收到@LX2222 的舉報反饋被盜號
發布的加速器盜取賬號信息
http://www.ycnqhj.icu/thread-785555-1-1.html

我們著手分析一下看看軟件確實發現了問題,被添加了盜取QQkey的后門,通過拿到QQkey后任意操作QQ郵箱,來盜取Steam賬號。

一:木馬行為分析:
文件下載后發現大部分文件都帶有網易的簽名,只有ui.dll和uu_main.dll文件沒有,經過分析ui.dll應該原版就有,只是被添加了一個區段,作用是引入一個導入表,自動加載uu_main.dll執行。




那問題就簡單了,只需要判斷uu_main.dll到底是安全的破解補丁還是盜號木馬了?uu_main.dll本身加了VMP3的殼,關鍵代碼也被虛擬化了,直接運行看看也沒可以字符串,常規思路沒有進展,那就變換思路繼續看看,先讓DLL在OD里跑起來看看有什么。

借助Wireshark(抓包工具)和SSM(主動防御工具)【愛盤都有下載】,可以看到程序請求多個網址和一個本地的請求(這點嫌疑最大,盜QQkey的都是本地請求)




上面的線索讓我們關注到有幾個網絡請求,但字符串中也沒看到網址,Wireshark看到的www.liuqiang6666.xyz:8080網址就很可疑,加上還有一個本地請求,我想看看代碼到底是寫的什么,字符串加密了?

直接在程序一些網絡函數api下端,發現HttpSendRequestA可以中斷,不看不知道,一看還真是訪問本地QQkey的請求:



進一步驗證了猜想,到這里就簡單了,繼續分析,看看QQ這個URL哪來的,之前并沒搜到,通過分析,原來URL前半部分是加密存的,運行解密出來:



既然把字符串加密了,也找到了解密的地方,那就直接在解密的地方下個斷點,看看都解密了啥東西,不出意外,解密的全是和盜號有關的信息(只貼部分,還有很多加密的未貼):

http://www.liuqiang6666.xyz:
http://localhost.ptlogin2.qq.com:4300/pt_get_uins?callback=ptui_getuins_CB&r=0.7478418888058513&pt_local_tk=0.3858416392467916
TCP發信
360tray.exe
HipsMain.exe
火絨劍.exe

雖然木馬把關鍵代碼都VM掉了,我們依然可以從行為和部分代碼進行分析判斷出是盜號木馬,如果我本機登錄QQ,應該就可以觸發到盜號發信的過程,后面就不演示了,歡迎大家跟進分析。

木馬下載地址以及相關文件MD5:
hxxps://www.lanzous.com/i1k96ja (完整木馬包)
uu_main.dll MD5: 57FC3BFE48069ECBA7F538CAC3EE55D1

二:木馬防范

最近有很多人心生邪念,走入歧途,發布軟件捆綁盜號木馬,本帖中的木馬已經從簡單的捆綁走到了劫持加載,前段時間還看見有人直接添加區段,使用內存直接加載木馬運行的,盜號手段也在日益更新,恰好論壇有來自各種安全公司的技術大牛,還有熱愛安全的熱心會員,在大家的幫助下我們可以第一時間發現危險并進行處理。(其實很多大家在沒看到帖子的時候就已經在后臺被管理發現處理,詳見小黑屋。)

大家在使用程序時候建議安裝安全軟件,比如這個木馬,360和QQ管家都能查殺(恩,第一時間我們就直接給官方推送查殺了),切忌使用的時候退出安全軟件(木馬才會說自己沒毒,讓你退出殺毒軟件)。

Steam賬號不建議使用QQ郵箱綁定,建議更換其他郵箱,如果非要用,QQ郵箱也應該加上一個獨立密碼(不太了解機制,是不是也沒卵用?)。

如果你論壇賬號使用QQ郵箱綁定了,建議登錄設置安全驗證問題!

最后如果你已經被盜或者使用過這個程序的,盡快修改QQ密碼,并檢查QQ郵箱設置中是否被設置轉發規則等,防止再次被盜!


三:后話

雖然論壇有很多高手,但我們希望提高所有人的安全意識和識別能力,看上述我的分析,你是不是也想來試試?

大家對于新注冊會員發布的內容請多加注意,有能力分析出問題的可以幫助我們盡快舉報,大家合力保衛論壇安全。

想對那些心懷不軌的人說,你在吾愛破解這樣的技術論壇玩這種小伎倆,分分鐘就給你剝皮把肉看得清清楚楚了,這里都是活躍在互聯網安全界的精英,任何小動作都是自討苦吃,奉勸那些蠢蠢欲動的人,盡快走入正途,不要誤入歧途!

最后感謝大家一直以來對吾愛破解論壇的支持和維護,論壇安全離不開大家監督,任何違法違規的行為都逃不過大家的眼睛和管理的審查,對待此類*渣論壇絕不手軟,堅決處罰到底!

點評

見過很多 Steam 帳號被盜后被游戲封禁的案例(絕地求生游戲作弊),確實就是通過綁定的 QQ 郵箱 盜取的。強烈呼吁謹慎綁定 QQ 郵箱,不安全因素太多了。  發表于 2018-9-22 14:16
電腦從來不掛QQ 登錄論壇都是手機掃一掃  發表于 2018-9-2 22:50
心懷不軌的人在角落瑟瑟發抖。。。我就說我咋從不被盜QQ 原來我好久沒上過QQ了 哈哈  發表于 2018-8-25 18:36

免費評分

參與人數 700吾愛幣 +647 熱心值 +647 收起 理由
喬峰任我行 + 1 + 1 [email protected]
halfasun + 1 + 1 用心討論,共獲提升!
新手小碼農 + 1 + 1 我很贊同!
wsygbda + 1 + 1 我很贊同!
iopr + 1 + 1 我很贊同!
季布茜 + 1 我很贊同!
mlwy + 1 + 1 我很贊同!
ptlantu + 1 + 1 [email protected]
9846919 + 1 用心討論,共獲提升!
油師shany + 1 我很贊同!
霧踏青云 + 1 我很贊同!
dbn17636500108 + 1 我很贊同!
asdlion + 1 + 1 我很贊同!
zxcslove + 1 + 1 [email protected]
Chuba + 1 + 1 我很贊同!
虞珂啊 + 1 + 1 感謝您,受教了!
jimzhang023 + 1 我很贊同!
morumeng + 1 我很贊同!
巍瀾可期 + 1 + 1 [email protected]
wst12341235 + 1 + 1 熱心回復!
ou201614125 + 1 + 1 我很贊同!
cecesilly + 1 + 1 我很贊同!
差點變帥 + 1 我很贊同!
gongtingliuliu + 1 我很贊同!
wapj16058 + 1 + 1 我很贊同!
1000001000 + 1 + 1 我很贊同!
w0r1d3e + 1 + 1 我很贊同!
superBBQ + 1 我很贊同!
aszp1 + 1 + 1 我很贊同!
情何以堪aa + 1 [email protected]
kim2223 + 1 我很贊同!
ajajaj + 1 + 1 [email protected]
dickenshms + 1 + 1 我很贊同!
kuangliming + 1 + 1 我很贊同!
meishijiemeimei + 1 + 1 我很贊同!
小雨愛蝦米 + 1 + 1 [email protected]
虛無的飯 + 1 + 1 我很贊同!
青零青零 + 1 + 1 熱心回復!
momuma + 1 + 1 我很贊同!
bens + 1 + 1 熱心回復!
atgused + 1 我很贊同!
UN2758 + 1 + 1 我很贊同!
fanjianwei + 1 + 1 我很贊同!
Jackson丶Wu + 1 + 1 [email protected]
ZXTC + 1 + 1 [email protected]
yejunapd + 1 + 1 我很贊同!
肥行 + 1 + 1 我很贊同!
jeff + 1 + 1 我很贊同!
zmikle + 1 我很贊同!
37274490 + 1 + 1 你在吾愛破解這樣的技術論壇玩這種小伎倆,分分鐘就給你剝皮把肉看得清清楚.
wurush + 1 + 1 [email protected]
sjq829 + 1 + 1 用心討論,共獲提升!
ado1025 + 1 + 1 我很贊同!
啤啤蝦 + 1 + 1 我很贊同!
幽暗沼澤之光 + 1 + 1 [email protected]
OUTSIDER123 + 1 + 1 我很贊同!
我的石頭最叼 + 1 + 1 我很贊同!
jovanbu + 1 + 1 我很贊同!
fx666 + 1 + 1 我很贊同!
huaji23333333 + 1 + 1 熱心回復!
虞美人草 + 1 + 1 我很贊同!
yy17312 + 1 + 1 我很贊同!
AlanChen + 1 + 1 好樣的
48973312 + 1 + 1 [email protected]
demonxf + 1 + 1 我很贊同!
水皮 + 1 + 1 [email protected]
九死一生 + 1 + 1 我很贊同!
時光碎片 + 1 + 1 我很贊同!
廠子777 + 1 我很贊同!
小麻雀300 + 1 + 1 我很贊同!
叉叉學破解 + 1 + 1 [email protected]
aivv + 1 + 1 我很贊同!
seaseeyoul + 1 我很贊同!
Wolts + 1 + 1 [email protected]
whq0000000 + 1 + 1 [email protected]
rianwg + 1 + 1 我很贊同!
段子界的孔子 + 1 + 1 肌肉男牛批
vippp + 2 + 1 能不能把壞蛋抓過來彈JJ,或者割
dogbutcat + 1 + 1 [email protected]
wwwio + 1 + 1 [email protected]
Tom_Kenny + 1 + 1 熱心回復!
亂の舞 + 1 + 1 我很贊同!
淡定定定哥 + 1 + 1 我很贊同!
qiaobaba + 1 我很贊同!
鍋鍋有點懶 + 1 + 1 我很贊同!
阿瞞營銷 + 1 我很贊同!
liaojacku + 1 + 1 我很贊同!
fffsky + 1 + 1 感謝大神出手!
初音未來 + 1 我很贊同!
e1036 + 1 + 1 我很贊同!
N_Gai + 1 + 1 我很贊同!
52113141111 + 1 + 1 我很贊同!
靚仔胖哥 + 1 + 1 我很贊同!
落寞的回憶 + 1 + 1 [email protected]
xiaozhushunian + 1 + 1 [email protected]
七年明月如霜 + 1 + 1 我很贊同!
dupeng0720 + 1 + 1 我很贊同!
kuersi + 1 用心討論,共獲提升!
痞盟小英雄 + 1 我很贊同!
丁郁非 + 1 我很贊同!

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

來自 2#
 樓主| Hmily 發表于 2018-9-30 11:23 <
20180929發現新的變種,這次用的是巡游,依然易語言寫的木馬,大概流程:給xunyou.exe添加了一個導入表加載xunyoutt.dll,xunyoutt.dll會有一些判斷,判斷成功后加載木馬config\xydata.txt(非PE)解密并內存執行核心木馬文件,核心就是盜QQskey的,和之前一樣,但木馬作者看了本帖,把更多的代碼加了VMP保護,字符串加密的地方也更多了,但木馬就是木馬,我一眼還不是就看出來你?(這回復帖子木馬作者肯定也能看到,和主題貼一樣木馬作者看過一樣,勸你迷途知返,你不知道有關部門現在要干什么了嗎?)

木馬推廣下載地址:https://www.lanzous.com/i1zfg0h

xunyou.exe MD5: 03D81211A9DA927250ADADC098E1D73D
xunyoutt.dll MD5: 673B8664E985D07FC7A1AC10DD127845
xydata.txt MD5: 31D4A8D172AABA992202D9BC75BE9C23

木馬接收盜號信息域名:http://www.bb95663.xyz (木馬本帖解析出IP:115.144.238.222)

內存解密后的核心木馬DLL:
xy_main.7z (1.13 MB, 下載次數: 923)

點評

奉勸這個木馬作者迷途知返 論壇里的大牛比比皆是 要擼出你具體是哪位 并提供給公安的話 太簡單了  詳情 回復 發表于 2018-9-30 11:32

免費評分

參與人數 1吾愛幣 +1 熱心值 +1 收起 理由
x854363956 + 1 + 1 通過給的域名我查詢出來相關的信息 一. 這個VPS是在https://sg.godaddy.co.

查看全部評分

推薦
x854363956 發表于 2018-10-21 23:09
Hmily 發表于 2018-9-30 11:23
20180929發現新的變種,這次用的是巡游,依然易語言寫的木馬,大概流程:給xunyou.exe添加了一 ...

通過給的域名我查詢出來相關的信息
一. 這個VPS是在https://sg.godaddy.com/zh/hosting/web-hosting進行購買的
作者的QQ號碼是346711886
作者的手機號碼是13203135617
作者本人的地址在   湖南長沙  其他我就不想在透露了
作者名字叫  ****堅                   不透露太多
這些信息足夠可以逮你好機會了,本來不想查的,犯我吾愛者......

有興趣的人可以繼續往下挖

點評

92年,吳堅  發表于 2019-2-15 11:05

免費評分

參與人數 8吾愛幣 +8 熱心值 +8 收起 理由
zhfan + 1 + 1 我沒話說了,只能給你一個吾愛幣和一點熱心值
尋夢小生 + 1 + 1 這也太秀了8
鍛煉才能長肌肉 + 1 + 1 干的漂亮!
無名i + 1 + 1 我很贊同!
asd5126568 + 1 + 1 哇 大牛哥 厲害呀
js6835677 + 1 + 1 熱心回復!
ab10012358 + 1 + 1 熱心回復!
天使的愛 + 1 + 1 [email protected]

查看全部評分

推薦
zjh16529 發表于 2018-8-21 16:19
天網恢恢,疏而不漏。請木馬制造者不要低估論壇大牛的能力,以身試法,你做的一切事情必將留下蛛絲馬跡,你的小伎倆在高人面前或許只是一些皮毛。

另外我提醒廣大會員,提高一下自己的防范意識,特別是xx加速器、xx原創輔助要特別小心,木馬制造者常常已這些東西作為誘餌,來盜取你的賬號,造成難以估量的損失。如果需要使用加速器、原創輔助等軟件,建議各位會員先瀏覽一下回復,然后再決定是否下載,賬號的密保要完善,比如使用Gmail等安全系數較高的郵箱,開啟密保問題等。

免費評分

參與人數 2吾愛幣 +1 熱心值 +2 收起 理由
82085844 + 1 之前就在52下了個群發的,qq郵箱給盜了導致蘋果給碩。上來發帖老大還罵我黑.
mutou666 + 1 + 1 見過別人說不要用qq郵箱,沒想到安全性這么差...

查看全部評分

推薦
jw8013 發表于 2018-8-21 15:36
很多人都喜歡說多少多少錢從某寶買的,然后再發到論壇,之后就好像一副事不關己的樣子!
推薦
thy2019 發表于 2018-8-21 16:05
懷舊下  記得好多年前 Hmily 幫我做過一個破解尋仙的視頻 那年52一直缺少經費  我的老賬號還沒凍結 52還有群
推薦
pwwm 發表于 2018-8-21 15:43 來自手機
支持嚴懲盜號的,特別是在吾愛發木馬的
推薦
霧雨 發表于 2018-8-26 15:26
哇,這個要是發布到其他論壇里面估計大部分人都會中招,還好吾愛大佬多,一下就發現問題,支持!!!
推薦
denglongdehaoya 發表于 2018-8-21 15:50
是不是免費用UU加速器吃雞的意思?
11#
wdllp123 發表于 2018-8-21 15:34
第一板凳?  話說最近雜這么多盜QQkey的
12#
 樓主| Hmily 發表于 2018-8-21 15:39 <
再貼一個前幾天看到的同樣手法的樣本MD5:E577DE76E3B090F01AC174D50D796104
域名:http://www.tt562669.xyz:8080
13#
圣母皇太后 發表于 2018-8-21 15:39 來自手機
我一般只用outlook郵箱
14#
cqghost 發表于 2018-8-21 15:42
感謝大神讓我們免災害
15#
愚無盡 發表于 2018-8-21 15:46
老大威武 處理這類敗類絕不手軟
頭像被屏蔽
16#
Zero__Lee 發表于 2018-8-21 15:49
提示: 作者被禁止或刪除 內容自動屏蔽
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 提醒:禁止復制他人回復等『惡意灌水』行為,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2019-10-12 08:01

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
新疆时时开奖历史记录