您当前所在位置:首页资讯lol凯特盒子官网(英雄联盟凯特盒子病毒)

lol凯特盒子官网(英雄联盟凯特盒子病毒)

更新:2022-08-07 06:14:06编辑:小梓01归类:资讯

近期,360安全大脑检测到一款名为"LOL凯特盒子"的换肤软件,在后台偷偷下发QQ空间/兴趣部落暗刷回复和QQ/WeGame盗号相关的木马病毒,基于英雄联盟这款游戏庞大的用户量,此类病毒的感染量也在持续上涨。LOL凯特盒子的官网如下:


技术分析

LOL凯特盒子运行后,会从"天翼云盘"下载病毒程序Skin_GG1.zip(该文件并非压缩文件,而是32位可执行文件),Skin_GG1.zip除了给QQ空间和兴趣部落刷回复之外,还会加载资源中携带的Win32Dll.dll,动态库被加载后会释放键盘记录驱动ctrl2cap64.sys,并通过发送不同的控制码控制病毒驱动记录用户输入的键盘记录。整体的病毒流程如下图所示:


后门

Skin_GG1.zip会先从www.wu52q.cn/?c=Public&a=get_config获取如下的配置信息:


解析配置文件,并根据配置文件执行不同的病毒逻辑,当goto_svchost字段的值为1时,病毒会将自身伪装成系统文件csrss.exe,根据c1的值来判断是否下载其他病毒模块,d1则是对应的下载链接。当执行完上述流程之后,就进入刷量的主流程,完整的病毒逻辑,如下图所示:


配置文件中d1的值由云端控制,病毒作者可以派发不同类型的病毒模块(不排除派发勒索,挖矿等恶性病毒)。此处配置对应下载的病毒模块z3ydemw7.cfg是一个通过弹窗替博彩网站引流的程序:


暗刷

Skin_GG1.zip从www.wu52q.cn/?c=Public&a=get_task获取刷量配置,其中cont字段中保存要回复的内容。然后利用QQ快速登录协议的缺陷,伪造相关的请求包进行刷量:


测试过程中发现是替"腐女部落","耽美部落"等兴趣部落刷回复,此外在代码逻辑中还看到刷QQ空间回复的相关代码逻辑。


盗号

Skin_GG1.zip资源中携带盗号的动态库Win32Dll.dll,调用其导出函数_E(),开始执行盗号逻辑:


Win32Dll.dll会释放一个病毒驱动到%temp%目录下加载,该驱动是一个键盘记录器,可以从应用层通过DeviceIoControl()发送不同的控制码来控制驱动监视键盘记录,驱动文件信息如下:


不同的控制码对应的功能如下:


Win32Dll.dll在检测到当前窗口是QQ或者WeGame的窗体时,就发送0x0x222004开始监听键盘记录,记录完成后发送0x222010读取记录的数据,并将其发送到C&C服务器,代码逻辑如下:


溯源

在LOL凯特盒子官网(www.lolkt.cn),我们发现该软件作者的网名叫 "淡忘的小毅", 在官网的"联系本站"界面,我们找到病毒作者的QQ号为1490201192:


在软件"关于凯特"选项中,"捐赠作者"的支付宝账号和微信账号也都是这名叫"淡忘的小毅"的"网友"。


在支付宝付款界面看到他的真名应该叫"*国伍"


安全建议

(1) 尽量不使用未知安全性的软件,不使用破解程序,游戏辅助,外挂等等。

(2)使用过LOL凯特盒子的用户,建议尽快修改QQ密码,并通过weishi.360.cn下载360安全卫士进行查杀。



以上就是电脑114游戏给大家带来的关于lol凯特盒子官网(英雄联盟凯特盒子病毒)全部内容,更多资讯请关注电脑114游戏。

电脑114游戏-好玩游戏攻略集合版权声明:以上内容作者已申请原创保护,未经允许不得转载,侵权必究!授权事宜、对本内容有异议或投诉,敬请联系网站管理员,我们将尽快回复您,谢谢合作!

ff14装备怎么获得(ff14豆芽练级本被骂) 最终幻想勇气启示录幻影战争怎么样?(幻影战争详情介绍)