Le nouveau jeu Internet qui fait rage attaque production noire: LOL et jeux d'�checs drainage hacking

contexte description de

Noir produit en utilisant l'espace QQ pour mener � bien le d�tournement de la publicit� de masse de l'affaire, s�rement, nous avons vu, mais uniquement pour la lib�ration des revenus caus�s par la publicit� de drainage, ils ne semblent pas satisfaits.

R�cemment, Duba � Catching the Wind � Syst�me de surveillance de la perception de la menace pour le piratage en ligne pour mener un jeu d'�checs, et en m�me temps �tre en mesure de la publicit� de masse dans le client de paris Ligue pour effectuer le drainage des chevaux de Troie. Et comme les pr�c�dents �checs des chevaux de Troie diff�rents, pr�c�dents hommes jeu d'�checs souvent trojans il suffit d'utiliser Baidu optimisation SEO ou PPC, laissez client chalet hi�rarchisant pour attirer les utilisateurs � t�l�charger, mais cette fois ceux qui ont chang� leur attitude, choisissez prendre l'initiative d'installer un jeu de fabricants r�guliers d'�checs, tels que: client local 1378, assemblage, Chen jeux long de la falsification, l'interception sugg�rant de son message de s�curit�, et finalement voler les mots de passe de compte et or jeu.

Pour le drainage Envoyer des annonces dans le client Trojans League, la premi�re fois constat� que les messages de l'API auteurs de Troie envoy�s en appelant la Ligue locale du client Legends, lorsque la fin d'un enregistrement de jeu t�l�vis�, il envoie la publicit� ou d'un groupe de jeux lien, pour �viter message intercept� par filtration, en utilisant �galement alternatif mani�re d'interception d'homophone contourner le filtre.

Selon l'analyse des �chantillons li�s � la propagation, nous croyons que la source de l'�chantillon de l'environnement Internet, au cours de l'analyse, la fonction du plug-virus est mis � jour quotidiennement, seule infection variante est �lev�e 3W +.

Analyse technique

Les principaux processus de fonctionnement du virus comme suit:

Le virus est en cours d'ex�cution, se copie � la premi�re d'un dossier au hasard et nomm� system32 renomme lui-m�me d�guis� en syst�me de fichiers, il sera camoufl� liste des noms de fichiers comme suit:

Ensuite, continuer � t�l�charger un fichier image crypt�e � partir du serveur apr�s que le fichier est d�crypt�e lien vers un autre site Web, la �galement des points � un fichier d'image lien crypt�, d�crypt� � nouveau le fichier image, trouv� �tre un fichier DLL, la fonction principale des fichiers DLL est de t�l�charger un autre fichier cheval de Troie 2: Ligue de la publicit� trojans chevaux de Troie et les hommes de jeu d'�checs, les �l�ments suivants sont des analyses sp�cifiques:

Un cheval de Troie: h�ros troyen publicit� affili�

Les auteurs de virus cheval de Troie avance pour t�l�charger des images sur le serveur public (Sina, Baidu, NetEase) pour emp�cher la tra�abilit� des analystes de s�curit�, traquer sa v�ritable identit�, t�l�charger des images utilis�es pour placer le serveur comme suit:

Mais en fait d'utiliser l'image Sina en dehors du lien de la cha�ne, on peut faire remonter � la source de l'anti-Cha, tels que les liens d'images Sina utilis�s dans l'image ci-dessus, les uploaders d'information anti-trouv� comme suit:

Date de d�p�t de la premi�re course, le cheval de Troie de Septembre 2018 pour commencer actif dans:

Le fichier t�l�charg�, le m�me camouflage fichier image crypt�e, d�crypt�e, encore un fichier DLL, et cette DLL est le cheval de Troie ultime. Les virus utilisent c: \ fichier document sdlfkjsldjfsldkfjs.txt comme le drapeau de commutation, si le fichier existe, l'op�ration suivante est pas effectu�e, le fichier DLL contient deux fichiers PE suppl�mentaires: fichier de biblioth�que CURL et un processus d'injection LeagueClient.exe fichier. Une fois le chargement des fichiers DLL pour ex�cuter, cr�e d'abord trois fils:

un fil

Les donn�es statistiques communiqu�es au serveur: http: //api.hjhmc.com/c.php md5 = / AbW5ekasENZnoFYhA86kLY2HNZ5A2XRowvOg / qYVq6hDUJgQHR / UQ ==, l'arri�re du site au panneau de pagode ?:

enfiler deux

Ligue de conduite pour les op�rations d'injection de clients, lui-m�me a publi� un fichier PE, inject� dans LeagueClient.exe, principalement pour obtenir une valeur auth-jeton et la valeur app-port, puis obtenir la valeur r�sultante est stock�e dans C: \ a. dat, le message pour les liaisons de transmission ult�rieures qui construction utilis�:

trois fils

La valeur de auth-jeton et la valeur obtenue app-port, pour construire la liaison de transmission de message correspondant, et transmet ensuite les informations de publicit� correspondant, l'ach�vement de l'envoi de publicit� paris:

Toutefois, en raison des services connexes d�faillance de la liaison ( temporairement incapable d'obtenir les donn�es de configuration de l'information publicitaire correspondant, mais ces donn�es de remplacement, ainsi que le dictionnaire en ligne, selon un des chevaux de Troie int�gr� mot-cl� commentaires, devinez le m�me type de cheval, Sent, est des types de paris d'annonces:

En plus d'envoyer des publicit�s dans le client de paris Ligue, le virus profitera de QQ connexion rapide, voler valeur ClientKey, puis parler de l'espace, en ajoutant � parler du moment, de la publicit� envoyer r�guli�rement:

Cheval de Troie II: hommes jeu d'�checs trojans

Le jeu d'�checs de cheval de Troie fiche principalement pour les quatre jeux suivants:

Cheval de Troie trouv� en d�tectant plus de 4 jeux jeu fen�tre principale de processus, puis inject� le module DLL par fil de piratage � distance, accrochez la fonction sp�cifi�e, obtenir des informations de compte lorsque l'utilisateur est hors de la salle de jeux, acc�s monnaie du jeu, modifier et mot de passe compte de t�l�chargement et d'autres op�rations.

Pour � 1378 Game Center � ceux lib�r�s, par exemple, lorsque la fen�tre de d�tection intitul�e � 1378GameCenter �, sera publi� � la DLL C: \ Windows Temp \% d.dll et inject�s dans le processus de jeu.

Piratage module de DLL de processus apr�s que le jeu est charg�, la fonction de raccordement sera fonctions li�es au jeu, jeu d'interception � l'int�rieur de l'information. Lorsqu'un utilisateur se connecte dans la salle, l'acc�s � l'argent, pour lier les mots de passe du d�groupage, le changement et d'autres op�rations, pour obtenir les mots de passe de compte d'utilisateur, les mots de passe bancaires, de change et d'autres donn�es de jeu, le cryptage et t�l�charg�es sur le serveur.

Li� au code, le code suivant est effectu� pour une pluralit� de fonctions d'accrochage de la DLL:

Un total de cinq fonctions de raccordement:

Fonction Hook 1: messages d'interception de jeu normales et trait�es s�par�ment:

La fonction de crochet pour le journal de l'utilisateur dans le jeu pour ouvrir la banque, monnaie du jeu d'acc�s, entrez dans la salle de jeu, lier les op�rations de d�groupage et d'autres sont r�alis�s des actes d'enregistrement, et l'utilisateur et les informations de compte, mots de passe et autre monnaie de jeu rapport� au serveur distant.

Les donn�es d�clar�es dans le texte brut est le suivant:

Pr_ID =% d, Pr_Mark =% d, Pr_Money =% d, Pr_Name =% s, Pr_Msg = log dans le jeu, Pr_Ver = 03-11, Pr_ID =% d, Pr_Accunot =% s, Pr_Accunot_Key =% s, Pr_Code =% s, Pr_ID =% d, Pr_Common =% s, Pr_MAC =% s, Pr_ChoiceLongin =% d, Pr_ID =% d, en ligne = 12345,

Ce qui pour le journal dans le jeu, entr� dans la pi�ce, changer le mot de passe de trois recours collectif pour obtenir et signaler le code machine de l'utilisateur Pr_MAC pour les num�ros de lavage de d�groupage � distance, compte de connexion � distance lorsque vous �tes invit� remplacera les nouvelles locales, pour emp�cher les utilisateurs de trouver le compte vol�:

Fonction Hook 2: indique l'utilisateur entre le nom de la pi�ce: Pr_ID =% d, Pr_Room = nom de la salle,

Crochet Fonction 3: rapports que l'utilisateur quitte la chambre: Pr_ID =% d, Pr_Msg = quitter la salle,

Indiqu� lorsque l'utilisateur quitte la salle \ quitter le jeu \ comptes commutateur: fonction crochet 4

5 fonction crochet: pour voler des points (voler la monnaie du jeu)

appel de fonction Suspicion pour terminer le jeu dans le jeu pour voler de l'argent, temporairement incapable d'appels de d�clenchement.

Format de rapport:

Pr_ID =% d,% d = Pr_Money, Pr_Toal =% d, Pr_Bank_Money =% d,% d = Pr_Steal_Bank, Pr_Msg = volent points dans la

Rapports fonction de t�l�chargement pour recueillir les informations de compte d'utilisateur du jeu, et envoyer un paquet rythme cardiaque toutes les 30 secondes, les donn�es du rapport est envoy� au lien 129.211.126.131/index.jsp?Act=Update&Data=%s apr�s base64 cod�s et chiffr�s RC4

Les �l�ments suivants sont recueillis sur les informations de compte serveur auteurs de virus:

De plus, les statistiques www.hjhmc.com de serveur de rapports virus, vous pouvez voir la quantit� de statistiques d'infection par jour, les �l�ments suivants sont infect�s par l'un des canaux des donn�es d�clar�es:

Annexe du CIO

MD5:

32abecf1d0e8e12f196dcf4e49d1bd92 f658d68f85a192e9839d5ddc7c526aec 06b26b1db9eb41a6b2d13b1a83acc9b2 f447d59a958733a5de72fe20beebb4a2 c0511a18f46de23819edfbeccff0513b 6d98c1dfa61f304a9222c795329a44c86e9eb752f1fdf2814d82fff29bf258505e3a3c1dbe6a4b39a6cd146380b452dc 31558c5ff2dbd2d57159a804c770821b fa2fd16e6db11c3ae0e92a9f85c7fcb2

URL:

https://weibo.com/u/6727188567

* Auteur: l�opard de s�curit�, tir� � part FreeBuf.COM

Route de la soie

Apprenez � conna�tre la Chine

Le nouveau jeu Internet qui fait rage attaque production noire: LOL et jeux d'�checs drainage hacking