背景描述

黑产利用QQ空间来进行群发广告进行导流的情况，想必大家都已见过，但对于单纯的发布引流广告带来的收益，他们似乎并不满足。

近期，毒霸“捕风”威胁感知系统监控到一款针对在线棋牌游戏进行盗号，并且同时能够在英雄联盟客户端内群发菠菜广告，从而进行引流的木马。和之前的棋牌盗号类木马不同，以往的棋牌游戏盗号木马往往只是利用百度SEO优化或者竞价排名，让山寨客户端排名靠前，从而吸引用户下载，而这次的盗号者则一改常态，选择主动出击，对安装了正规棋牌游戏厂商，如：1378、集结号、辰龙游戏等的本地客户端进行篡改，拦截其安全消息的提示，从而最终盗取账号密码以及游戏金币。

而对于在英雄联盟客户端内发广告引流的木马，尚属首次发现，木马作者通过调用英雄联盟客户端本地消息发送的API，当一局游戏结束显示战绩时，就会发送菠菜群的广告或者链接，为了避免消息被过滤拦截，还会采用同音字替换的方式绕过过滤拦截。

根据对相关传播样本的分析，我们认为该样本的源头来自于网吧环境，在分析期间，该病毒的插件的功能也是每天更新，单个变种感染量达3W+。

技术分析

该病毒的主要运行流程如下：

病毒运行后，首先会复制自身到system32下一个随机命名的文件夹里，然后重命名伪装自身为系统文件，会被伪装的文件名

列表如下：

接着，继续从服务器http://api.6688cy.com/2.gif下载一个加密了的图片文件，该文件解密后为另一个网址链接http://api.6688cy.com/2019.gif，该链接同样指向了一个加密的图片文件，对该图片文件再次解密后，发现其为一个DLL 文件，该DLL文件的主要功能是去下载另外2个木马文件：英雄联盟广告木马和棋牌游戏盗号木马，以下分别进行具体分析：

木马一：英雄联盟广告木马

病毒作者提前将该木马上传到了公共图片服务器中（新浪、百度、网易），以防止安全分析人员溯源、追查到其真实身份，上传放置图片所用的服务器如下：

但其实对于使用了新浪图片外链的链接，是可以反查追溯到源头的，例如上面图片中所使用的新浪图片链接，反查到上传者的信息如下：

从第一条上传的日期来看，这个木马从2018年9月份就开始活跃了：

下载得到的文件，同样是伪装加密的图片文件，解密后，依旧是一个DLL文件，而这个DLL就是最终的木马文件。

病毒利用c:sdlfkjsldjfsldkfjs.txt文件作为开关标记文件，若文件存在，则不执行后续的操作，该DLL文件中包含了两个额外的PE文件：CURL库文件和一个用于注入LeagueClient.exe进程的文件。

该DLL文件加载运行后，首先会创建3个线程：

线程一：

数据上报至统计服务器：http://api.hjhmc.com/c.php?md5=/AbW5ekasENZnoFYhA86kLY2HNZ5A2XRowvOg/qYVq6hDUJgQHR/UQ==，该网站后台为宝塔面板：

线程二：

针对英雄联盟客户端进行注入操作，将自身释放出的一个PE文件，注入进LeagueClient.exe，主要为获取auth-token值和app-port值，然后将获取得到的值存放在C: a.dat中，为后续构建发送消息的链接所用：

线程三：

根据获得的auth-token值和app-port值，构建相应的消息发送链接，然后发送相应的广告信息，完成菠菜广告的发送：

不过由于相关服务链接的失效(http://43.224.29.58/msg/2.txt)，暂未能获取相应的广告信息配置数据，但根据该木马内置的一个关键词替换字典信息以及网上的相关反馈来看，猜测为同一类型的木马，发送的是菠菜类型广告：

除了在英雄联盟客户端内发送菠菜广告外，病毒还会利用QQ的快速登录，盗取ClientKey值，然后在空间的说说中，加入定时

说说，定时发送广告

：

木马二：棋牌游戏盗号木马

该棋牌游戏盗号木马插件主要针对以下4款游戏：

木马通过检测以上4款游戏窗口找到游戏主进程，然后通过远程线程注入盗号DLL模块，挂钩指定函数，在用户进出游戏房间、存取游戏币、修改帐号密码等操作时拿到账户信息并上传。

以“1378游戏中心”盗号木马为例，当检测窗口标题为“1378GameCenter”时，就会释放DLL到C:WindowsTemp%d.dll，并注入游戏进程。

盗号DLL模块在游戏进程加载后，会挂钩游戏相关的功能函数，拦截游戏内部消息。在用户进行登录、进入房间、存取钱、绑定解绑、修改密码等操作时，获取用户账户密码、银行密码、游戏币等数据，并加密上传至服务器。

挂钩代码，针对多个DLL中的函数进行挂钩代码如下：

一共有5个挂钩函数：

挂钩函数1：拦截正常的游戏消息并分别处理：

该钩子函数针对用户登录游戏、打开银行、存取游戏币、进入游戏房间、绑定解绑等操作都进行了行为记录，并和用户账户信息、密码、游戏币等上报到远程服务器。

上报数据明文格式如下：

其中针对登录游戏、进入房间、修改密码这3类操作会获取并上报用户的机器码Pr_MAC用于远程解绑洗号。

当账号异地登录时会替换本地的提示消息，防止用户发现账号被盗：

挂钩函数2：上报用户进入的房间名：Pr_ID=%d,Pr_Room=房间名,

挂钩函数3：用户退出房间时上报：Pr_ID=%d,Pr_Msg=退出房间,

挂钩函数4：用户退出房间退出游戏切换账号时上报

挂钩函数5：偷分（盗取游戏币）

疑似调用游戏内部函数完成游戏币盗取，暂时无法触发调用。

上报格式：Pr_ID=%d,Pr_Money=%d,Pr_Toal=%d,Pr_Bank_Money=%d,Pr_Steal_Bank=%d,Pr_Msg=偷分中

上报函数会上传收集到的用户游戏账户信息，并每30秒发送一个心跳包，上报数据经过rc4加密和base64编码后发送至链接129.211.126.131/index.jsp?Act=Update&Data=%s

以下是病毒作者服务器上收集到的账号信息：

另外，www.hjhmc.com为病毒的上报统计服务器，可以看到每日的感染量统计，以下是其中一个渠道的感染上报数据：