新闻链接：fe6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8Y4c8W2M7X3#2A6L8X3q4D9i4K6u0r3x3e0l9H3x3e0l9&6i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间：2016-03-28
新闻正文： 

近期有玩家反映游戏遭木马盗号，并发现黑客就像阴魂不散一样随时都能控制电脑。根据网友反映的样本信息，360QVM团队进行分析，发现该木马以内存加载和恢复恶意代码的方式来躲避查杀，同时它还会开启3389端口并增加一个管理员帐户，使盗号者能够随时远程登录受害者电脑，即使木马被查杀也极易再次中招。

木马一共有四个文件，一个快捷方式，三个隐藏属性的文件，分别是一张图片，一个exe文件和dll文件，exe程序被加密：




可执行程序是隐藏的，打开快捷方式之后显示了一张图片：



但是木马程序已经在后台开始运行。分析快捷方式文件“12浓雾之息.lnk”，我们找到了一个文件名：



这是被快捷方式启动的木马程序，继续分析找到这个木马程序，它首先会调用命令行显示图片：



接着释放crossfire.exe文件和Release.dll文件到临时目录：




然后创建crossfire.exe进程：



crossfire.exe的主要功能是修改Release.dll的前两字节，并且在内存中加载Release.dll。



Release.dll经过修改之后，是一个加密的dll文件，




里面有木马的主要功能：

1、遍历检测杀毒进程



2、查找游戏相关的信息



3、获取键盘信息




4、联网下载文件



5、接受远程指令，开启3389，接受远程控制等




其中会判断3389是否开启，以及安全狗防护页面等。




由于具备了完整的远控和盗号功能 ，根据远控的域名信息a19931108.com，进一步分析牧马人信息：



通过搜索1030889799@qq.com，我们找到了该QQ号的受害者以及牧马人的相关信息：






根据木马查杀数据，从2月初到3月，该盗号远控木马已活跃了一段时间，主要通过游戏平台和聊天软件文件传输进行传播。

在此提醒游戏玩家，电脑“文件夹选项”的设置一定要显示文件类型的扩展名，以免被木马文件的名称和图标迷惑；如果杀毒以后发现电脑反复感染病毒，建议使用安全软件“防黑加固”，防止远程端口被黑客控制利用。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课