如今网络游戏盛行,众多玩家为求游戏里的优势会使用游戏辅助,然而这背后可能暗藏盗号风险。就像今天分析的游戏辅助,看似普通却疑点重重,让我们不得不警惕起来。
4c158727f86198c183cc6f0b4f8d21a4500751bd61b2b450159e9530cfcba45c5ca8e96f7665ace2044ee139fd0308
初始发现
游戏辅助本应简单正常,可这个辅助一分析就有不少奇怪之处。我发现它会在C盘写入文件,LOGO居然是dota的,这不合常理。一般正常程序不会如此操作,毕竟C盘是系统盘。而且它只有一个执行程序,分析时却释放出一个EXE,这就很可疑了。这其中肯定有着不可告人的目的,可能是在默默搜集用户信息。这提示我们在使用看似无害的软件时要小心。
通常软件不会无故在C盘写入特定LOGO的文件,这个辅助很可能被病毒利用来伪装。正常的游戏辅助没必要搞得如此复杂。
分析尝试
在分析软件时我各种尝试。下了注册表断点,结果程序直接停止。我怀疑它有反调试功能。针对易语言常用的反调试API拦截,程序也停止运行。这就很不正常,正常程序不会这么脆弱,一旦检测到调试就停止,这更像是在隐藏什么,不想被人发现背后的操作,很可能背后有着盗取账号的数据传输等操作正在悄悄进行。
再通过EXEinfo分析模块,发现有个DLL。我想先弄明白EXE如何将DLL释放到其他进程的。这都是挖掘出这个程序背后真相的重要步骤。
Steam进程相关
在分析过程中,发现这个病毒在获取所有进程快照,特别是针对Steam进程进行操作。它获取授权文件,然后写文件到Steam某目录。这样就能让需要登录的黑号无需邮箱、Steam令牌等验证。这就形成了一个身份令牌,使得电脑被Steam信任。这个过程很隐蔽,如果不是深入分析难以发现,这对Steam用户来说是巨大的安全隐患,可能导致账号被盗用而不自知。
这一系列操作都是在为盗号做准备,普通用户根本无法察觉这种悄然进行的恶意程序正在盗取他们的账号安全保障。
病毒中的DLL
这个病毒模块中的DLL作用也不简单。从其字符串判断,是获取steam ssfn文件的模块。虽然具体ssfn等Steam相关问题没有深入探究,但可以确定这个DLL在整个盗号流程中起着重要作用。从整个软件看,它很像是盗号产业链中的一部分,和前面的EXE配合起来,完善盗号的流程。
这意味着这个看似简单的游戏辅助,背后有着一整套针对Steam账号的盗取计划,这个DLL就是其中的一环。
杀毒软件检测
我们再来看看杀毒软件这边的情况。就拿腾讯电脑管家来说,用未脱壳的病毒进行模拟用户使用场景下的检测。把病毒放在桌面新建文件夹进行指定扫描。结果显示,即便报毒,有的用户也会自行添加白名单信任此程序。这说明用户的防范意识低,也反映出杀毒软件在阻止这种新型盗号病毒方面存在挑战。
大概一两个月前还有盗号病毒宣传可突破QQ邮箱二级密码等,这也说明现在盗号手段多样且难以防范,杀毒软件的防护机制需要进一步完善。
盗号产业链与撸号器
这里提到盗号产业链中的撸号器。虽然没有详述其使用,但可以知道它是用于盗号的。而且这种盗号软件可能有免杀能力,在虚拟机安装测试时360和腾讯都未报毒。这表明盗号产业链已经很成熟,他们采用各种先进手段来达到盗号目的,像这样的游戏辅助可能只是其中一个小手段。
这让我们看到整个盗号背后是庞大的灰色产业链在运作。
你是否意识到你平时使用的软件可能暗藏这样的盗号风险?欢迎大家点赞、分享并评论。
