当前位置:首页 > 旅游指南

360木马杀毒 sorry,360已经查杀了你的木马!

报告作者:360核心安全部门360证书

0x00前言

《绝地求生:大逃杀》自Steam上线以来一直占据销量榜榜首,可见这款游戏的火爆程度。用户纷纷加入“吃鸡大军”,“耶稣求生:大逃亡”要求用户花98元在Steam Mall购买,才能开始“吃鸡”。黑产从业者也找到了“商机”,盯着用户手里的Steam账号。他们试图通过窃取蒸汽账户数据并出售来获利。

发布“邮箱数据”

而且我们还发现,这些黑制作人都在贴吧和QQ群里试图出售自己的非法Steam数据,大量的非法Steam数据交易都发布在“邮箱数据”贴吧里。此外,我们的360云安全系统监控最近发现,一些不法分子通过语音转换器、插件、加速器等方式传播窃取数据木马。木马一旦运行,就能成功窃取用户的QQ号和动态Skey。

为了方便用户,腾讯可以在已登录的QQ电脑中使用“快速登录”的方法。在使用这种登录方式的过程中,会生成一个密钥,这是另一张用于QQ登录的身份证。黑客可以用这个密钥识别用户的QQ,登录邮箱,QQ空,看相册,写日记,发帖聊天,微博,财付通,QB。

使用QQkey登录邮箱工具

通过伪装steam插件传播的犯罪分子,会通过快速登录QQ邮箱,窃取绑定到QQ邮箱的Steam账户及相关财产。

360-CERT分析过这个漏洞,认为该漏洞影响严重;目前相关报告已经公开,建议相关用户尽快制定评估方案。

0x01产业链分析

我们尝试与贴吧里的一个“人贩子”沟通,尝试还原整个黑客产业链的状况。

在沟通过程中,“人贩子”给我们展示了盗取Steam账号过程中需要的工具和测试数据。从工具上,我们发现他们用来盗取QQKey的邮件接收方式主要有腾讯企业邮箱和ASP邮件接收。

盗号木马生成器,QQKEY记录器

“人贩子”也告诉了我们这些工具的价格和圈里的源代码。整套盗号木马生成器一套易语言源码的价格是1500,而对于一些不懂易语言源码的工作室来说,主要是购买800左右价格的QQKey盗号木马生成器,甚至用来登录QQKey的伐木工也需要400。

我们要求“人贩子”测试木马,因为我们需要测试盗号木马是否可以避免杀死360。“人贩子”说,它的木马可以通过360,但文件下载后就被QVM杀死了。其实木马本身的技术门槛并不高。整个黑客过程中最重要的是账号数据量,在后续的沟通过程中,我们也“人贩子”得知他们的手段主要是引流和传播,并再次向我们展示了他们行业的“外号宝书”。

最后,我们把这种黑色产业链的情况还原如下:

0x02窃取QQkey

根据最近捕获的样本,我们发现这种盗日木马主要有两种窃取QQkey的攻击方式。

用QQ快速登录盗取QQ密钥

通过访问http://localhost . ptlogin 2 . qq . com:4300/[URL]获取用户登录QQ的密钥,并将Set-Cookie中的clientKey发送到牧民中的服务器(464690486.blkj.tk)。

牧民服务器通过qqkey.php接收QQ密钥进程存储,传输的数据主要包括QQ号、QQ名和QQ密钥。

将qq号码和qq登录密钥发送到指定的服务器

信息也会发送到指定的邮箱

特洛伊木马分发程序的接收网站流量:

注:此图来自360网络安全研究所

从网站流量来看,从2018年3月30日开始网站流量突然暴涨,我们也贴出了该站的访问日志。

另一个特洛伊木马分发程序的电子邮件地址:

这说明收获不便宜。

暴力搜索内存提取QQ密钥并上传到服务器或邮箱

阅读QQ.exe记忆

将Qq密钥发送到服务器

登录一个黑客的服务器,大约半个小时就可以看到2000多个QQ账号和密码被盗。

服务器上的Qq密钥记录

新品种

关于这个新变种,我们发现他用来获取QQkey的方法并没有改变(这个方法目前在国内只有360)

QQ密钥仍然通过QQ快速登录界面获取,如下图所示:

但是,我们发现他上传QQkey的方式发生了变化,从之前通过电子邮件和ASP接收改为socket通信,如下图,木马正在连接C & ampc服务器:

我们通过技术手段获得了这个变种的木马生成器,包括:自动访问QQ邮箱进行黑客攻击,管理获得的QQkey,自动生成木马等。可见功能非常齐全。

其中我们了解到服务器的流量在4月11日到4月12日之间飙升,说明变体应该会在4月11日发布。后来,我们截获了这个变种,C & ampc服务器的流程图如下:

注:此图来自360网络安全研究所

0x03 IOC

12e13e.exe 55AC 18 FB 660 F 726 EB 801 B8F 03 F9 EBC 37

wrqdfq.exe 37575d 21 b 8 CD 16 ABA 4c 3e 1b 3013 B1 e 31

QQPass.exe 6cb 90 f 793 db 09 fef 0077 e 599 c 6 ff 6f 20

0x04时间线预防建议

1.立即下载并安装“360安全卫士”来防范此类木马。

2.不要因为使用辅助软件而关闭安全软件的保护功能。

0x05摘要

360云安全大数据显示,这种类型的木马数量不断增加,不仅可能影响用户Steam账户的安全,还可能影响用户其他QQ服务的安全,并可能导致用户遭受巨大的经济损失。

建议用户立即下载并安装国内唯一能杀死此类样本的“360保安”。

注:360CERT官网提供完整的Steam New盗号木马和产业链分析报告PDF下载。点击阅读全文

1.《360木马杀毒 sorry,360已经查杀了你的木马!》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《360木马杀毒 sorry,360已经查杀了你的木马!》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/junshi/721735.html

上一篇

最痛之吻 广东高考优秀作文“亮相”:巴掌之吻 教育之痛

下一篇

看球时间 NBA球迷大多会在工作时间看球 学历越高观赛时间越长

花呗分期还款会影响信用吗 花呗经常“提前还款”,对个人征信有什么影响?老用户告诉你实情

  • 花呗分期还款会影响信用吗 花呗经常“提前还款”,对个人征信有什么影响?老用户告诉你实情
  • 花呗分期还款会影响信用吗 花呗经常“提前还款”,对个人征信有什么影响?老用户告诉你实情
  • 花呗分期还款会影响信用吗 花呗经常“提前还款”,对个人征信有什么影响?老用户告诉你实情
手机实名 电信用户,实名认证,手机上实名简要流程

手机实名 电信用户,实名认证,手机上实名简要流程

实名制来袭,你办理电信业务,却没时间去营业厅做生意。我该怎么办?如果你还在纠结这个问题,那你就出局了。电信宽带先装后付费。上门服务,手机实名解决了你的后顾之忧。现在我呈现一个实名流程...

偷情网 全球最大偷情网站数据曝光 长沙有1388位用户

偷情网 全球最大偷情网站数据曝光 长沙有1388位用户

近日,全球最大作弊网站遭黑客攻击,逾3300万用户数据泄露,其中长沙用户1388人。.g-btn, .galleryList-btn, .mask_btn span, .pop_iv...

大唐电子商务 大唐天下电子商务网络平台新用户注册图文说明

请扫描此二维码,进入大唐天下新用户注册流程  如果您的推荐人已经为您扫描了代码,请直接进入下一步完成实名注册  单击个人用户注册用户名不得少于6个字符  使用常用或容易记住的密码...

海尔服务标准 海尔洗衣机“七心服务”标准,为用户打造全流程服务

  • 海尔服务标准 海尔洗衣机“七心服务”标准,为用户打造全流程服务
  • 海尔服务标准 海尔洗衣机“七心服务”标准,为用户打造全流程服务
  • 海尔服务标准 海尔洗衣机“七心服务”标准,为用户打造全流程服务

温州靓号 170/171号码成众矢之的 温州用户无辜“躺枪”

频繁发生的电信诈骗案件和难以防范的垃圾短信,使得两三年前与虚拟运营商一起诞生的170/171段成为最近公众批评的对象。用过170号的温州用户怎么看?温州有多少170用户?买170号真...

长沙银行app下载 长沙银行掌钱APP用户超400万户

近日,湖南师范大学启动了大型视频视觉项目“湖南人的一天”。据报道,该项目将通过对该省不同地区的不同人在正常生活中的图像进行切片和记录,来恢复湖南发生的真实人物或事情。它将跨越一年,呈...

怎么查etc通行记录 温馨提示:ETC用户通行记录可以这样查!

怎么查etc通行记录 温馨提示:ETC用户通行记录可以这样查!

尊敬的ETC客户:大家好!根据取消高速公路省际边界收费站的工作方案,从2月3日至7日,1月1日起高速公路通行费资金结算将集中进行。从2月10日起,费用统一扣除。由于银行借记卡短信的发送仍在优...