-
-
在线棋牌游戏的木马“集结号”
-
发表于:
2015-8-25 08:52
1706
-
新闻链接:
672K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3y4K6f1%4y4K6g2Q4x3X3g2Z5N6r3#2D9
新闻时间:2015-08-23
新闻正文:
一、概况
集结号游戏中心是一款拥有较高人气的棋牌游戏平台,包含百余款潮流性竞技休闲游戏,如斗地主、三国赛马、港式五张、对杀牛牛、捕鱼达人等。360互联网安全中心近期捕获到大量伪装该游戏平台的虚假安装包,这些安装包内预置了木马病毒,并采用多种技术手段对抗杀毒软件的检测查杀,本文将对其推广渠道、对抗手段以及木马行为进行全盘分析。
二、推广渠道
伪装“集结号游戏中心”的木马传播方式可以总结出以下三个特点:
1、针对国内主流搜索引擎,采取竞价排名推广,使得带有木马的虚假游戏中心网页在搜索结果中排在前面,容易被游戏玩家搜索下载到;
2、木马作者高度模仿官方网站,普通网友完全无法辨别真假网站;
3、从木马样本分析来看,木马作者具有比较丰富的杀软对抗经验,应该是黑产“老手”。
分析过程中,测试人员发现不光“集结号游戏中心”搜索结果的第一页有多个木马链接,甚至搜“集吉号游戏中心”等相似关键词也会中招。点击链接进入页面,会发现虚假页面与官方网站(
dc1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3A6B7K9r3N6S2L8h3g2Q4x3X3g2U0L8$3#2Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0g2Q4z5o6N6Q4b7e0m8Q4c8e0c8Q4b7U0W2Q4z5p5g2Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0k6Q4b7e0m8Q4b7U0N6Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5f1k6Q4z5e0m8Q4c8e0c8Q4b7V1q4Q4z5f1u0Q4c8e0g2Q4z5f1k6Q4z5f1k6Q4c8e0g2Q4z5e0m8Q4z5p5c8Q4c8e0c8Q4b7U0S2Q4z5p5g2Q4c8e0g2Q4b7f1g2Q4z5e0S2Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0c8Q4b7U0W2Q4z5f1k6Q4c8e0W2Q4b7f1u0Q4z5e0S2Q4c8e0g2Q4b7V1q4Q4b7e0k6Q4c8e0N6Q4z5f1u0Q4b7U0S2Q4c8e0c8Q4b7V1y4Q4b7V1y4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7e0k6Q4z5o6u0%4N6%4N6Q4x3X3g2B7K9X3S2Y4N6$3q4E0k6g2)9J5k6h3y4G2L8g2!0q4x3#2)9^5x3q4)9^5x3i4N6%4N6#2)9J5k6h3A6B7K9r3N6@1j5h3#2W2i4K6u0W2j5$3!0E0i4@1f1K6i4K6R3H3i4K6R3I4 aadK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3A6B7k6%4q4F1k6g2)9J5k6h3y4G2L8g2!0q4y4#2!0m8c8q4)9^5z5g2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4q4!0n7b7W2!0m8y4g2!0q4y4#2)9&6b7#2)9^5b7W2!0q4y4g2)9^5y4#2!0n7b7g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9&6b7#2!0m8z5q4!0q4z5g2!0m8z5g2!0m8b7#2!0q4y4q4!0n7z5q4!0n7b7g2!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4W2)9^5c8g2!0m8z5q4!0q4y4g2!0n7z5g2!0n7c8W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4g2!0n7x3q4)9&6x3g2!0q4y4W2)9&6b7#2!0m8b7#2!0q4z5g2)9&6x3W2!0n7x3g2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4g2)9&6b7W2!0n7c8e0q4Q4c8e0k6Q4z5o6W2Q4z5o6m8Q4c8e0N6Q4b7e0c8Q4b7V1q4Q4c8f1k6Q4b7V1y4Q4z5f1p5`.
1.png
图1-搜索结果
点击上图中第二项搜索结果www.jjhgqne.com,页面被重定向至jjhgames.jjhgqne.com:81,见下图2,重定向页面是一个钓鱼页面,和官网风格完全一样(见图3),但其页面上的链接都指向自身(href=’#’),仅网吧版、精简版按扭指向待下载的重打包木马安装包。
2.png
图2 – 虚假页面
与此同时,在集结号游戏官方网站发现,游戏官方也提示近期在百度搜索中出现大量虚假页面,建议用户认清官网地址
437K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3A6B7K9r3N6S2L8h3g2Q4x3X3g2U0L8$3#2Q4c8e0W2Q4z5e0S2Q4b7U0u0Q4c8e0k6Q4b7f1c8Q4b7e0u0Q4c8e0c8Q4b7U0S2Q4z5p5q4Q4c8e0g2Q4b7V1c8Q4z5e0y4Q4c8e0g2Q4z5p5k6Q4z5e0N6Q4c8e0W2Q4b7f1q4Q4z5e0N6Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0g2Q4b7e0k6Q4z5o6u0Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0g2Q4z5f1u0Q4b7V1f1K6i4@1f1$3i4K6R3&6i4K6R3H3i4@1f1%4i4@1p5@1i4@1u0m8i4@1g2r3i4@1u0o6i4K6W2m8
3.png
图3-官方页面
测试发现,木马作者注册的钓鱼页面内容几乎一样,而重新打包的安装包里木马混白技术也相似,推测所有钓鱼页面出自同一作者之手。作者注册大量与官网jjhgame相似的域名,并伪造相同的页面,用以传播推广木马。
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
