集結號游戲中心是一款擁有較高人氣的棋牌游戲平臺,包含百余款潮流性競技休閑游戲,如斗地主、三國賽馬、港式五張、對殺牛牛、捕魚達人等。360互聯網安全中心近期捕獲到大量偽裝該游戲平臺的虛假安裝包,這些安裝包內預置了木馬病毒,并采用多種技術手段對抗殺毒軟件的檢測查殺,本文將對其推廣渠道、對抗手段以及木馬行為進行全盤分析。
偽裝“集結號游戲中心”的木馬傳播方式可以總結出以下三個特點:
分析過程中,測試人員發現不光“集結號游戲中心”搜索結果的第一頁有多個木馬鏈接,甚至搜“集吉號游戲中心”等相似關鍵詞也會中招。點擊鏈接進入頁面,會發現虛假頁面與官方網站(www.jjhgame.com)幾乎一樣,某些域名與官網也高度相似,如www.jjhgwame.com、www.jjhgtame.com、 www.jjgqne.com等。可以看出,木馬為了推廣下了不少本錢。如下圖1所示:
點擊上圖中第二項搜索結果www.jjhgqne.com,頁面被重定向至jjhgames.jjhgqne.com:81,見下圖2,重定向頁面是一個釣魚頁面,和官網風格完全一樣(見圖3),但其頁面上的鏈接都指向自身(href=’#’),僅網吧版、精簡版按扭指向待下載的重打包木馬安裝包
與此同時,在集結號游戲官方網站發現,游戲官方也提示近期在百度搜索中出現大量虛假頁面,建議用戶認清官網地址http://www.jjhgame.com防止上當受騙。如下圖3所示:
測試發現,木馬作者注冊的釣魚頁面內容幾乎一樣,而重新打包的安裝包里木馬混白技術也相似,推測所有釣魚頁面出自同一作者之手。作者注冊大量與官網jjhgame相似的域名,并偽造相同的頁面,用以傳播推廣木馬。
接下來,我們下載官方安裝包及多個木馬安裝包進行對比分析,通過分析發現木馬作者在不同安裝包中使用多種手法進行對抗,試圖躲避殺毒軟件的查殺,總結主要包括下面4種對抗手段:
1 劫持原安裝包中Download.dll,將原Download.dll修改為game.dll名,在惡意Download.dll中重新加載game.dll;如下圖7所示:
從文件日期可以看出,Download.dll是2015年7月27號生成,說明該木馬作者依舊很活躍。木馬文件Download.dll導出了與game.dll中相同的函數CreateDownloadService,該DLL函數會在GamePlaza.exe被加載調用;圖8展示了Download.dll劫持手法:
圖8-Download劫持手法
2 使用StudyPE添加新的導入表項Gamejjh.dll,通過該方式StudyPE會在PE結構中新增.newimp節,將需要的DLL及其函數字符串寫入其中,并在IAT表中添加相應的導入表項。 原GamePlaza.exe并未導入Gamejjh.dll。如下圖9、圖10所示是被修改后的GamePlaza.exe主程序:
圖9-導入目錄
圖10-新增節信息
3 修改ComService.dll,Inline Hook DllEntryPoint函數,函數入口強制JMP到TEXT節最后,在該處進行DLL(虛假msvcrt8.dll) 加載。
下圖11展示了木馬強制跳轉至其惡意代碼的截圖:
圖11-加載惡意代碼
4 通過細微修改原版GameUpdate.exe,AutoUpdate.exe, login.ini文件,Patch原版游戲中心的升級路徑,對抗查殺。原官方版本的login.ini文件內容如下圖12:
圖12-官方配置文件( login.ini)
重打包后木馬安裝包里的login.ini文件如下圖13:
圖13-病毒配置文件( login.ini)
通過分析發現字段UpdateIp在原版的GameUpdate、AutoUpdate程序里都會使用,木馬作者一方面修改GameUpdate里對UpdateIp的引用為UphostIp,使其能正常工作,另一方面Nop掉AutoUpdate里的MessageBox函數,使其靜默下載update.iiibbbvv.com:81的木馬安裝包升級。
除上述4種手段外,測試還發現大量其他手段,其方式和上述差不多,如修改zip.dll文件IAT表,注入d3dx9_53.dll;劫持NetWorkService.dll等。
1 Download.dll盜號木馬
該木馬通過劫持集結號游戲中心的正常Download.dll程序啟動,原文件284KB,病毒程序309KB。該DLL啟動起來后加載common.dll文件,并調用其ifconfig函數,接著從GamePlaza.exe和PropertyModule.dll中搜索特殊字節串,并hook帳號密碼處理函數等。程序代碼如下圖14所示:
圖14-盜號木馬
下文依次截圖展示hook帳號輸入的過程:
1)木馬從地址空間0x401000開始搜索特征串0FB6D085D27422C7,定位到相應地址并保存;見下圖15所示:
圖15-搜索特征串
2)Hook相應前一步搜索到的地址的代碼,在獲取輸入帳號后調用木馬自身函數get_account,該函數內部將帳號發送至木馬作者服務器;如圖16所示。
圖16-hook函數
搜索對應的字節串,在GamePlaza.exe中找到相應位置如下圖,可以看出這里是GamePlaza帳號登陸處理函數:如圖17所示。
圖17-登陸函數
2 Common.dll后門
在盜號Download.dll中加載本DLL,調用其ifconfig函數;該程序是一個Gh0st改寫的后門程序,從云端獲取配置信息、監聽本地端口、注冊服務、添加自啟動、檢測殺毒軟件等;
圖18-Gh0st后門
據分析,這些虛假的游戲中心釣魚網站均使用虛假的個人信息進行域名注冊,變化頻繁,沒有實際意義。調查發現,病毒木馬的黑產團伙除了針對集結號游戲平臺發起攻擊外,還會對市面各類游戲中心使用類似的手法進行攻擊,如辰龍游戲中心、906游戲中心等。此外,團伙還會開發各種外掛、工具,如鳳凰游戲、劍俠情緣等游戲外掛,由此可以推測,該團伙研發的各種盜號、遠控木馬還可能通過其研發的外掛進行傳播。
如圖19所示,我們再次在百度中搜索辰龍游戲中心,第一項是官方網址,而之后連續三個全是釣魚頁面。
從搜索第一項和第二項可以明顯看出,木馬作者依舊采用老方法注冊相似的域名(官網cl059.com,釣魚網址cl0579.zj、cl0559.aliapp)欺騙用戶,偽造頁面與官網完全一樣。
圖19-辰龍游戲中心搜索結果
在線棋牌這類休閑游戲,盡管游戲官方可能不允許現金交易,但是通過第三方交易手段,現實中的貨幣和游戲中貨幣是可以互相兌換的。這類游戲都含有賭博成分在里面,甚至有的本身就是賭博,容易讓玩家沉迷其中,不能自拔,所以很多木馬團伙就打這上面的主意。
木馬作者大量購買域名,與官方棋牌游戲相似度極高,又通過搜索競價排名推廣,對普通玩家來說極具迷惑性。在此我們建議游戲玩家:不要輕信搜索結果!認準官網域名再訪問,不要從第三方網站下載安裝包。同時電腦注意開啟安全軟件,遇到危險警報時要按提示清除木馬,否則不僅會損害游戲賬號安全,電腦還可能被不法分子完全控制,有可能造成更嚴重的后果。