360木马 sorry，360已经查杀了你的木马！

报告作者:360核心安全部门360证书

0x00前言

《绝地求生:大逃杀》自Steam上线以来一直占据销量榜榜首，可见这款游戏的火爆程度。用户纷纷加入“吃鸡大军”，“耶稣求生:大逃亡”要求用户花98元在Steam Mall购买，才能开始“吃鸡”。黑产从业者也找到了“商机”，盯着用户手里的Steam账号。他们试图通过窃取蒸汽账户数据并出售来获利。

发布“邮箱数据”

而且我们还发现，这些黑制作人都在贴吧和QQ群里试图出售自己的非法Steam数据，大量的非法Steam数据交易都发布在“邮箱数据”贴吧里。此外，我们的360云安全系统监控最近发现，一些不法分子通过语音转换器、插件、加速器等方式传播窃取数据木马。木马一旦运行，就能成功窃取用户的QQ号和动态Skey。

为了方便用户，腾讯可以在已登录的QQ电脑中使用“快速登录”的方法。在使用这种登录方式的过程中，会生成一个密钥，这是另一张用于QQ登录的身份证。黑客可以用这个密钥识别用户的QQ，登录邮箱，QQ空，看相册，写日记，发帖聊天，微博，财付通，QB。

使用QQkey登录邮箱工具

通过伪装steam插件传播的犯罪分子，会通过快速登录QQ邮箱，窃取绑定到QQ邮箱的Steam账户及相关财产。

360-CERT分析过这个漏洞，认为该漏洞影响严重；目前相关报告已经公开，建议相关用户尽快制定评估方案。

0x01产业链分析

我们尝试与贴吧里的一个“人贩子”沟通，尝试还原整个黑客产业链的状况。

在沟通过程中，“人贩子”给我们展示了盗取Steam账号过程中需要的工具和测试数据。从工具上，我们发现他们用来盗取QQKey的邮件接收方式主要有腾讯企业邮箱和ASP邮件接收。

盗号木马生成器，QQKEY记录器

“人贩子”也告诉了我们这些工具的价格和圈里的源代码。整套盗号木马生成器一套易语言源码的价格是1500，而对于一些不懂易语言源码的工作室来说，主要是购买800左右价格的QQKey盗号木马生成器，甚至用来登录QQKey的伐木工也需要400。

我们要求“人贩子”测试木马，因为我们需要测试盗号木马是否可以避免杀死360。“人贩子”称其木马可通过360，但文件一下载就被QVM杀死。其实木马本身的技术门槛并不高。整个黑客过程中最重要的是账号数据量，在后续的沟通过程中，我们也“人贩子”得知他们的手段主要是引流和传播，并再次向我们展示了他们行业的“外号宝书”。

最后，我们把这种黑色产业链的情况还原如下:

0x02窃取QQkey

根据最近捕获的样本，我们发现这种盗日木马主要有两种窃取QQkey的攻击方式。

用QQ快速登录盗取QQ密钥

通过访问http://localhost . ptlogin 2 . qq . com:4300/[URL]获取用户登录QQ的密钥，并将Set-Cookie中的clientKey发送到牧民中的服务器(464690486.blkj.tk)。

牧民服务器通过qqkey.php接收QQ密钥进程存储，传输的数据主要包括QQ号、QQ名和QQ密钥。

将qq号码和qq登录密钥发送到指定的服务器

信息也会发送到指定的邮箱

特洛伊木马分发程序的接收网站流量:

注:此图来自360网络安全研究所

从网站流量来看，从2018年3月30日开始网站流量突然暴涨，我们也贴出了该站的访问日志。

另一个特洛伊木马分发程序的电子邮件地址:

这说明收获不便宜。

暴力搜索内存提取QQ密钥并上传到服务器或邮箱

阅读QQ.exe记忆

将Qq密钥发送到服务器

登录一个黑客的服务器，大约半个小时就可以看到2000多个QQ账号和密码被盗。

服务器上的Qq密钥记录

新品种

关于这个新变种，我们发现他用来获取QQkey的方法并没有改变(这个方法目前在国内只有360)

QQ密钥仍然通过QQ快速登录界面获取，如下图所示:

但是，我们发现他上传QQkey的方式发生了变化，从之前通过电子邮件和ASP接收改为socket通信，如下图，木马正在连接C & ampc服务器:

我们通过技术手段获得了这个变种的木马生成器，包括:自动访问QQ邮箱进行黑客攻击，管理获得的QQkey，自动生成木马等。可见功能非常齐全。

其中我们了解到服务器的流量在4月11日到4月12日之间飙升，说明变体应该会在4月11日发布。后来，我们截获了这个变种，C & ampc服务器的流程图如下:

注:此图来自360网络安全研究所

0x03 IOC

12e13e.exe 55AC 18 FB 660 F 726 EB 801 B8F 03 F9 EBC 37

wrqdfq.exe 37575d 21 b 8 CD 16 ABA 4c 3e 1b 3013 B1 e 31

QQPass.exe 6cb 90 f 793 db 09 fef 0077 e 599 c 6 ff 6f 20

0x04时间线预防建议

1.立即下载并安装“360安全卫士”来防范此类木马。

2.不要因为使用辅助软件而关闭安全软件的保护功能。

0x05摘要

360云安全大数据显示，这种类型的木马数量不断增加，不仅可能影响用户Steam账户的安全，还可能影响用户其他QQ服务的安全，并可能导致用户遭受巨大的经济损失。

建议用户立即下载并安装国内唯一能杀死此类样本的“360保安”。

注:360CERT官网提供完整的Steam New盗号木马和产业链分析报告PDF下载。点击阅读全文