主题:一款伪装"QT语音"的steam盗号病毒分析
z3960发表于 2019-09-09 06:02
原贴说的免杀,并不是完全免杀,国内的一些杀毒软件还是能查杀出来的。1、样本信息:原始文件名:QT语音.exeMD5:CA2B935DF2AA3D2564E95837A0A4979A处理器框架:Microsoft Visual C++ 6.0文件大小:0.97 MB (1,024,000 字节)2、样本行为分析(1)样本在调用资源数据段中的函数(已自定义),资源数据段中对应的DLL函数中有对应的函数 资源数据段的内容: (2)在资源数据表获取函数名称 资源表中的数据: (3)在注册表中将steam的记住密码选项默认开启 (4)检查用户的游戏账号是否被封禁 (5)获取steam登录时的key (6)获取QQ快捷登录的方法 (7)构造HTTP协议包 (8)修改steam登录框 (9)将登录框的信息转为jiemi1.txt (10)加载指定的虚假的登录DLL,将其转为jiemi2.txt (11)将程序提到最高权限 (12)再自定义HTTP头,用来记录保存用户的steam账号信息,并生成授权 (13)遍历用户磁盘
回帖(2):全部回帖(2)»