躁动的棋牌游戏们

前言

想来从1978年的《冒险岛》问世PC平台至今，电脑游戏来到这个世界上已经快有40个年头了。而如今受到页游和手游的冲击，传统PC游戏已经风光不再。但有一类游戏却在PC平台上始终坚挺，这就是我们今天的主角——棋牌游戏。个中原因不是我们这里需要深究的，然而这种异常的坚挺却带来的必然是树大招风——各种木马作者会纷纷瞄准这个市场，而这才是我们需要关注的焦点。

0x00 自我伪装

木马作者采取竞价排名推广，使虚假游戏中心网页在搜索结果中排在前面(一般情况下我们会认为排在第一个位置的就是官网了，但是这种虚假游戏中心网页往往前面几个都是假的。虽然该网址后面带有实名认证，但是这里提醒一下广大用户，在利用搜索的时候，带有实名认定的也不一定是没有问题的。)木马作者还高度模仿官网网址，制造一个虚假地址，

 

图1

0x01 混淆视听

带马网站的整个页面布局和官方网站的在视觉效果上是“一模一样”，不注意的情况下我们很容易就中招了。

 

图2

0x02 自我隐藏

经过分析比较后发现，从非官网下载下来的程序功能齐全下载回来的安装包除了多了一个dll以外其它一切都没做过改变。程序拥有正常程序的全部功能。木马作者将原来的WHSocket.dll文件重新命名为oriWHSocket.dll ,然后将自己的带有恶意行为的dll命名为 WHSocket

 

 

木马文件WHSocket通过导出了与原WHSocket中相同的函数，使带有木马的游戏能和官网下载的游戏一样、图4还展示了WHSocket.dll的劫持手法

 

0x03 WHSocket.dll分析

1. 加壳保护

该木马通过劫持官网游戏中心的正常WHSocket.dll程序启动，原文件在原安装包中只有28kb大小，但是在带有木马的安装包中所占大小为1.9MB。分析时发现作者自己写了一个壳给文件加上。这里的目的就是逃避杀毒软件的查杀了。

 

2. 获取QQ号信息

该dll通过获取QQ的特有的类名 “5B3838F5-0C81-46D9-A4C0-6EA28CA3E942″来获取一段带有我们QQ号的字符串,格式形如:”qqexchangewnd_shortcut_prefix_QQ号”，在获取到字符串后，木马作者以”prefix_” 为界限，通过字符串的复制获取到QQ号

下面展示了为什么通过”5B3838F5-0C81-46D9-A4C0-6EA28CA3E942″类就可以获取到我们的QQ号。因为标题就是╮(╯▽╰)╭

 

下面这段代码就展示如何获得QQ号的过程

 

3. 获取被控端外网地址

从下图可以知道木马作者是通过建立TCP连接，来传送数据。

 

木马作者将接受数据的服务器地址以十六进制的形式写在恶意dll中，通过讲十六进制数据转正成字符串获取到服务器地址

 

然后通过与服务器进行数据交互，从而获取到被控制端的外网IP地址。

 

 

 

4. 获取游戏用户名和密码

通过查找游戏的主页面的类”88369game”来判断我们输入的用户名是否有效。如果找到游戏的主界面恶意dll才会发送用户的游戏账号和密码，如果没有查找到游戏的界面就不会发送

 

木马作者通过使用键盘记录来获取到我们输入的用户名和密码

 

抓包到发送被控端的外网地址和我们的用户名还有密码。((o(╯□╰)o，可是密码居然是明文啊)

 

6. 远控

和远程控制端建立

 

连接远程桌面

 

0x04 总结

棋牌游戏这类木马不止是这个88369，还有很多类似的游戏被同过以上相同或者类似的手段进行处理了，比如前面我们发过的一篇报道集结号游戏的一篇文章，以及辰龙游戏、斗地主、三国赛马、港式五张、对杀妞妞、捕鱼达人等等游戏。大部分都是通过劫持dll，一般用来劫持的dll都是具有获取游戏玩家的用户名和密码以及后门功能。有了后门他想做的事情也就很多了。

 

0x05 防范措施

1.不要访问陌生网站，遇到360拦截的网站一定要立刻关闭。

2.从搜索里选择结果，一定要注意是否带有官网认证。

3.尽量选择大厂商的游戏，无论是平台可靠性还是安全防护措施都会更有保障

4.注意安全软件的使用，经常做安全检测是个好习惯。

Posted in 样本分析.