360安全大脑“截杀”游戏盗号木马,“屠戮”网吧服务器元凶终落网( 二 )
攻击工具主要针对3种主流的网吧管理平台 , 分别是易乐游、网维大师和云更新 。 针对每种平台使用的攻击方法各有差异 , 且部分平台甚至存在多种攻击方法 , 但攻击原理其实都是利用平台的漏洞来向网吧服务器上传木马模块AppRead.exe 。
比如针对易乐游平台包含2种攻击方法 , 其中一种是直接向该平台的特定服务端口发送构造数据后 , 实现了服务器木马的植入和启动 。
AppRead.exe木马存在两种不同类型的版本 , 但本质上都是一个包含远控功能的后门 。 比如其中一版自制的简易后门使用内置C&C列表分别尝试远程连接进行上线 , 成功后则循环等待接收控制端指令 。
另外一版除了包含Gh0st远控模块 , 还会下载一个驻留更新的程序STUPdater.exe , 该程序使用计划任务在每天中午12点左右自动运行 。
攻陷大量的网吧服务器后 , 作案团伙在6月7号左右开始下发一套盗取游戏账号的木马程序Mount.exe , 该程序负责将核心盗号模块zlib1.dll植入到网吧客户端运行 。
盗号模块zlib1.dll内嵌一个模块PersonCard.dll , PDB路径信息为H:\股票信息\QQHook\ReflectiveDLL\Publish\Release\BaseDll\PersonCard.pdb 透露其是盗取QQ密码的木马 。 该模块通过检测窗口类名称来查找相关的进程 , 并注入盗号代码到对应的进程中执行 , 数据回传的C&C地址为123.56.86.25 。
在协助抓捕作案人员的过程中 , 360安全大脑根据网吧服务器木马使用的C&C地址 www.swjoy.org 和www.barserver.cn查询whois域名注册信息 , 发现注册人出自同一可疑人员 , 注册时间与该案件发生时间段也比较吻合 。
而后 , 360安全大脑结合安全大数据追踪溯源 , 最终关联锁定该木马病毒作者 。
360安全大脑协助追捕作案元凶
切忌沉迷游戏踏上犯罪不归途
也许是过分沉迷游戏世界 , 该木马作者社交软件个人说明中收藏的github链接 , 表明其也在研究一些网络游戏的内核代码 , 但最终还是走向了偷盗游戏账号的违法犯罪之路 。
不得不说 , 适量游戏可以有效缓解日常生活中的压力 , 但如果过度沉迷游戏 , 甚至因此而走向犯罪之路 , 显然得不偿失 。 针对此次入侵网吧服务器的病毒木马 , 360安全大脑已实施全面拦截和查杀 , 为避免这类攻击态势再度蔓延 , 建议广大用户做好以下防护措施:
1、及时前往weishi.360.cn , 下载安装360安全卫士 , 强力拦截查杀各类病毒木马;
2、使用360软件管家下载软件 , 360软件管家收录万款正版软件 , 经过360安全大脑白名单检测 , 下载、安装、升级 , 更安全;
3、提高安全意识 , 为个人电子账户设置强密码和多重验证;
推荐阅读
- 寒武纪科学馆|太空飞船如何安全返回地球?经历哪几个阶段?了解一下
- 超越不离开|普通百姓只能等死专家记住这3个地方绝对安全,若核战争爆发
- 温州市6114艘渔船全部归港避风或驶入安全水域
- 精选热点资讯|安全第一!江苏多地8月1日起要求电动车驾驶人佩戴安全头盔
- 环球网军事|中美最后“安全阀”,朱锋:重启军事对话
- 热评丨香港市民的安全与健康才是当前最大的政治
- 中金网|区块链是澳大利亚网络安全解决方案的一部分
- 浙报融媒体|赵如浪强调:全面整改各类安全生产隐患,全区危化品运输安全工作紧急会议召开
- 360娱乐|不是双胞胎,没生双胞胎!唐嫣产后正式复出并辟谣:生了女儿
- 360游戏大厅|凉快一夏!《糖果缤纷乐》奥蕾莉亚的海底世界等你畅游