LOL凯特盒子暗藏后门病毒，暗刷盗号双管齐下

最近，360安全大脑检测到了名为“LOL Kate box”的皮肤更换软件，正在后台偷偷发送QQ空间/关注不足暗刷响应和QQ/WeGame盗号相关木马病毒。随着英雄联盟这个游戏庞大的用户数量，这种病毒的感染量也在持续增加。

LOL凯特盒子的官网如下：

技术分析

LOL凯特盒子运行后，会从"天翼云盘"下载病毒程序Skin_GG1.zip（该文件并非压缩文件，而是32位可执行文件），Skin_GG1.zip除了给QQ空间和兴趣部落刷回复之外，还会加载资源中携带的Win32Dll.dll，动态库被加载后会释放键盘记录驱动c，并通过发送不同的控制码控制病毒驱动记录用户输入的键盘记录。整体的病毒流程如下图所示：

后门

Skin_GG1.zip会先从www.wu52q.cn/?c=Public&a=get_config获取如下的配置信息：

解析配置文件，并根据配置文件执行不同的病毒逻辑，当goto_svchost字段的值为1时，病毒会将自身伪装成系统文件c，根据c1的值来判断是否下载其他病毒模块，d1则是对应的下载链接。当执行完上述流程之后，就进入刷量的主流程，完整的病毒逻辑，如下图所示：

配置文件中d1的值由云端控制，病毒作者可以派发不同类型的病毒模块（不排除派发勒索，挖矿等恶性病毒）。此处配置对应下载的病毒模块z3ydemw7.cfg是一个通过弹窗替博彩网站引流的程序：

暗刷

Skin_GG1.zip从www.wu52q.cn/?c=Public&a=get_task获取刷量配置，其中cont字段中保存要回复的内容。然后利用QQ快速登录协议的缺陷，伪造相关的请求包进行刷量：

测试过程中发现是替"腐女部落"，"耽美部落"等兴趣部落刷回复，此外在代码逻辑中还看到刷QQ空间回复的相关代码逻辑。

盗号

Skin_GG1.zip资源中携带盗号的动态库Win32Dll.dll，调用其导出函数_E()，开始执行盗号逻辑：

Win32Dll.dll会释放一个病毒驱动到%temp%目录下加载，该驱动是一个键盘记录器，可以从应用层通过DeviceIoControl()发送不同的控制码来控制驱动监视键盘记录，驱动文件信息如下：

不同的控制码对应的功能如下：

Win32Dll.dll在检测到当前窗口是QQ或者WeGame的窗体时，就发送0x0x222004开始监听键盘记录，记录完成后发送0x222010读取记录的数据，并将其发送到C&C服务器，代码逻辑如下：

溯源

在LOL凯特盒子官网（www.lolkt.cn），我们发现该软件作者的网名叫 "淡忘的小毅"， 在官网的"联系本站"界面，我们找到病毒作者的QQ号为1490201192：

在软件"关于凯特"选项中，"捐赠作者"的支付宝账号和微信账号也都是这名叫"淡忘的小毅"的"网友"。

在支付宝付款界面看到他的真名应该叫"*国伍"

安全建议

（1） 尽量不使用未知安全性的软件，不使用破解程序，游戏辅助，外挂等等。

（2）使用过LOL凯特盒子的用户，建议尽快修改QQ密码，并通过wei下载360安全卫士进行查杀。