您的当前位置:现金捕鱼可提现金 > 现金捕鱼娱乐 >

盗号木马疯狂窃取游戏币竟还利用搜索引擎打广

发布时间:2019-03-28 08:49

如果您正在寻找相关产品或有其他任何问题,可随时拨打公司服务热线,或点击下方按钮与我们在线交流!

  ef.dll”启动后恶意模块“libc,e.xml”配置列表联网下载“updat,的文件名和hash值其中包含三个工作模块,安装目录下的程序模块用于替换“集结号”,能够加载恶意代码保证启动的游戏。

  安全大脑监测根据360,号木马对用户的“虚拟财产”可能造成一大波损失这款通过搜索引擎广告位进行大量传播的游戏盗。戏安装包为例分析了盗号木马的工作流程这里以上述被推广的钓鱼网站下载的游。

  接搜索“集结号”在某搜索引擎中直,带广告标记的非官方“集结号”游戏的网址搜索结果中有一定的频率会在前两条中出现。

  功登录后用户成,on数据格式组织并加密回传到C&C服务器木马就将盗取的账户密码等登录信息以js,息字段如下回传的信:

  fc71.dll”也算是一例“白加黑”的利用另外两个工作模块“Voice.dll”和“M,动过程中会自动导入“Mfc71.dll”这个运行库棋牌游戏的主程序“GamePlaza.exe”在启,ice.dll”模块但该库又引入了“Vo,在游戏启动时自动加载来进行盗号的任务最终恶意模块“Voice.dll”将。

  际上实,和拦截实际上由来已久此类钓鱼网站的传播,鱼页面来进行这种黑色产业作案团伙制做了大量的钓,的子域名前缀和主域名两个部分下图所示是从部分钓鱼网址提取,对比较明显作案特征相。

  密码点击登录后当用户输入账号,录服务器来远程验证账号密码的合法性则登录验证会先经过上述动态控制的登,误则弹出提示若账号密码错,行下一步回传记录账号密码正确则进。

  作模块中三个工,启动过程中自动运行的更新程序“AutoUpdate.exe”“AutoUpdateCHS.dll”用于劫持“集结号”游戏,Plaza.xml”配置列表主要工作是联网下载“Game,牌游戏的模块负责更新棋,运行并包含恶意代码保证游戏能够稳定的。

  金玩家来说对于游戏氪,的下载渠道来安装游戏要尽量通过官方、安全,不明的游戏外挂谨慎使用来历,受损失防止遭。

  ”为此盗号木马最核心的功能模块恶意模块“Voice.dll,混淆处理来对抗分析其中包含大量的代码。程中发现调试过,加载的多个程序模块做了hook操作该模块对“集结号”游戏启动过程中,ChannelModule.dll”等如“GamePlaza.exe”、“,中并没有执行到但实际盗号过程,盗号方式没有去掉猜测是以前使用的。

  条真正的“集结号吧”网址后然而避开该记录点击进入第二,告还是紧随而至发现这条诱导广,版下载集结号”标题写着“正,是那个钓鱼网站打开后却依然。

  这条广告再次忽略,到一些“集结号”相关的行情查看贴吧里的内容可以了解。戏还是有不少用户在玩首先关注到这类棋牌游,很容易上瘾并且似乎,现金捕鱼 平台往里面充了不少钱甚至很多用户都是,某用户的吐槽以下帖子为:

  启动时游戏刚,126.189:5712”发送加密上线包恶意模块往C&C服务器“111.230.,条加密控制信息服务端则返回一,的登录服务器地址信息其中包含“集结号”,在游戏登录窗口的服务器列表这些登录服务器是对应显示,作者动态控制实则由木马,完全被木马程序劫持了也就是说用户登录步骤。

  函数的判断比较简单“checkP1”,列表中是否有“vmtoolsd.exe”来检测虚拟机通过执行一个WBEMScripting脚本查询进程,中运行的则不会释放恶意模块若该安装包是在vm虚拟机。

  在反馈这个行业里经常被骗接着发现贴吧里不少用户,币”的代理被称呼为“银商”似乎有一类专门倒卖“虚拟金,道找他们充值结果被骗了很多用户通过不可靠的渠。

  开第一条网址直接点击打,该网站进入,做的很逼真看到页面,牌游戏网站高仿正规棋,出同一个下载地址如下所示实际上点击任意按钮却会弹,马的“集结号”游戏安装包下载的文件即是包含盗号木。

  中进行安装测试在真实的环境,程序来启动恶意模块“libcef.dll”安装完成后将自动运行“cxrdo.exe”,白加黑”的利用此过程是一例“。

  关注到了最后还,自己的账户无故被盗有用户在贴吧里反馈,币被偷走虚拟金,子里面的乱象丛生再次印证了这个圈。

  集结号”游戏模块重新打包下载的安装包是将官方的“,的恶意模块捆绑自己,发现需要密码直接提取文件:

  此至,被木马成功盗取用户账户已经,游戏客户端没有什么影响之后用户可以正常地使用,官方游戏的登录流程木马模块只是接管了,用户账号密码的目的从而达到偷偷盗取。

  中输入“集结号”外除了直接在搜索引擎,在第一条搜索记录里看到上述木马钓鱼网址测试过程发现搜索“集结号吧”却可以稳定。

  意模块如下捆绑的恶,的“checkP1”函数进行判断这些模块是否安装释放要根据指定:

相关产品

更多相关文章:


现金捕鱼平台_娱乐版权所有      
    

现金捕鱼平台_娱乐版权所有