国家计算机病毒应急处理中心通过对互联网的监测,发现一款名为LOL凯特盒子的换肤软件,在后台下发刷量、盗号相关的木马病毒,其入侵范围主要包括QQ空间、兴趣部落回复及QQ、WeGame账号盗取。该LOL凯特盒子运行后,会从天翼云盘下载病毒程序Skin_GG1.zip。该执行文件除了给QQ空间和兴趣部落刷回复之外,还会利用动态资源库记录用户键盘记录,盗取用户账号密码。
该软件下载完毕执行Skin_GG1.zip时,病毒会先从wu52q.cn/?c=Public&a=get_config获取配置信息,并根据配置文件执行不同的病毒逻辑。当goto_svchost字段的值为1时,病毒会将自身伪装成系统文件csrss.exe,并根据c1的值来判断是否下载云端链接d1,病毒作者可通过控制d1派发不同的病毒模块。当执行完上述步骤之后,就进入刷量的主流程。Skin_GG1.zip从wu52q.cn/?c=Public&a=get_task获取刷量配置,其中cont字段中保存要回复的内容,然后利用QQ快速登录协议的缺陷,伪造相关的请求包进行刷量。
Skin_GG1.zip资源中携带盗号的动态库Win32Dll.dll,调用其导出函数_E(),开始执行盗号逻辑。Win32Dll.dll会释放一个病毒驱动ctrl2cap64.sys到%temp%目录下加载,该驱动是一个键盘记录器,可以从应用层通过DeviceIoControl()发送不同的控制码来控制驱动监视键盘记录。Win32Dll.dll在检测到当前窗口是QQ或者WeGame的窗体时,就发送0x0x222004监听键盘记录,记录完成后发送0x222010读取记录的数据,并将其发送到C&C服务器中。
针对该恶意程序所造成的危害,建议用户及时给电脑打补丁,修复漏洞,关闭不必要的端口。避免使用未知安全性的软件,如破解程序,游戏辅助,外挂等。同时,给电脑安装安全防护软件,以免使电脑受到该恶意程序的危害。
|