天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

360:伪装“简单百宝箱”的木马分析

2011-9-22华军资讯佚名

“简单百宝箱”是一款具有较高人气的网游工具软件,其官方网站为www.jdbbx.com。360安全中心检测发现,不法分子仿冒“简单百宝箱”趁机传播DNF、天龙八部等热门游戏的盗号木马。由于DNF游戏和QQ帐号打通,受害用户的QQ也会因此一并失窃。

以下是详细解析:

1、通过腾讯SOSO搜索推广,冒充“简单百宝箱”官网欺骗用户下载木马,文件名分别为jdbbxsetup.exe、jdbbxV6.0Beta.exe、jdbbx6.0Beta.exe;

360安全卫士拦截伪装“简单百宝箱”的木马

jdbbxsetup.exe安装过程中会释放并运行DNF盗号木马ltuh.exe,以及《天龙八部》游戏盗号木马tlbb.exe。由于DNF帐号与QQ帐号打通,受害用户的QQ也会因此失窃。jdbbxV6.0Beta.exe的行为与jdbbxsetup.exe基本一致;

jdbbxsetup.exe释放并运行DNF盗号木马1tuh.exe

DNF盗号木马ltuh.exe首先感染两个Windows系统文件,通过系统文件加载盗号组件;

《天龙八部》盗号木马tlbb.exe会监视游戏进程,在游戏运行后对IE、画图、ACDSee等界面截屏并发送到黑客服务器上,以此破解《天龙八部》游戏密保卡;

jdbbx6.0Beta.exe安装过程中释放并运行“蓝宝石远程控制”木马1.exe,以及《天龙八部》盗号木马tlbb.exe;

jdbbx6.0Beta.exe释放蓝宝石远程控制木马1.exe
jdbbx6.0Beta.exe释放《天龙八部》盗号木马tlbb.exe

4、蓝宝石远程控制木马1.exe植入木马服务,再访问网络连接远程主机(即黑客控制端),如下;

1.exe植入木马服务
访问网络连接黑客的远程主机

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行