天辰娱乐-专注卓越服务

揭秘（mì）：英雄联盟非法**广告&棋牌（pái）盗号灰产

发布时间：2019-04-28 15:41编辑：天辰娱乐管理员来源：深圳市（shì）天辰娱乐科技

字号：

如果（guǒ）你是（shì）一个英雄联盟玩（wán）家，在游戏结束对（duì）局结算界（jiè）面（miàn）肯定（dìng）看（kàn）到过各种**广告，甚至一度认为和你对局游戏的是人工（gōng）智（zhì）能。要知道（dào），英（yīng）雄联（lián）盟（méng）这款游戏虽然已（yǐ）经过了巅峰期，但依旧是最受欢迎（yíng）的端游，非高峰期的同（tóng）时在（zài）线（xiàn）人数（shù）也有（yǒu）上百万人（rén），那么这种针对英雄联盟的非法广告实际情况是怎样的？其（qí）原理是什么（me）呢？

据天辰娱乐了解，这是一（yī）种针对在线棋牌游戏进行盗号，并且同时（shí）能够在英（yīng）雄联盟客户端内群发**广告，从而进行（háng）引流的木马（mǎ）。木（mù）马（mǎ）作者通（tōng）过调（diào）用英雄联盟客户端（duān）本地消息发送的API，当（dāng）一局游戏（xì）结（jié）束（shù）显（xiǎn）示（shì）战绩（jì）时，就会发送（sòng）**群的广告（gào）或者链接，为了避免（miǎn）消息被过滤（lǜ）拦截，还（hái）会采用同音字替换的方式绕（rào）过过（guò）滤（lǜ）拦（lán）截。

而（ér）据网（wǎng）狐了解，大部分发送此类（lèi）信（xìn）息（xī）的玩家，都处于网吧环境（jìng）。在分析期间（jiān），该病毒（dú）的插件的功能也是每天（tiān）更新，单（dān）个（gè）变（biàn）种感染（rǎn）量达3W+。

技术分析

先（xiān）大致说说该病（bìng）毒的主要运行流（liú）程：

此类（lèi）病毒运行后，首先会复制自身到system32下一个随机（jī）命名的文件夹里，然后重命名伪装自身为系统（tǒng）文件，会被伪（wěi）装的文（wén）件名列表如下（xià）：

接着，从服务器（qì）下载一个加密图片文件，当（dāng）然，这（zhè）不是病（bìng）毒本体。经过多重解（jiě）密后，我（wǒ）们发现（xiàn）其（qí）为一个DLL 文件，该DLL文件的主要功能是（shì）去下载另外2个木（mù）马文件：英雄联盟广告（gào）木马（mǎ）和棋牌游戏盗（dào）号木马：

木（mù）马一：英雄联盟广告木马（mǎ）

为防止安全分析人员溯源、追查到其真实身份，病毒作者提前将（jiāng）该木马上（shàng）传到了公共图片服务器中，如（rú）：新浪、百度（dù）、网易等

上传放置（zhì）图片（piàn）所（suǒ）用的服务器（qì）

下载得（dé）到的文（wén）件（jiàn），同样是伪（wěi）装加（jiā）密的（de）图片文件，解密后，依旧（jiù）是一个（gè）DLL文（wén）件，而这个DLL就是（shì）最终的木马（mǎ）文件。这个（gè）DLL文件中包（bāo）含（hán）了两个额外的PE文件（jiàn）：CURL库文件和一（yī）个用于注（zhù）入LeagueClient.exe进程的文件（jiàn）。该DLL文（wén）件加（jiā）载运行后，首（shǒu）先会创建3个线程：

① 线程一

数据上报至统计服务器：http://api.hjhmc.com/c.php?md5=/AbW5ekasENZnoFYhA86kLY2HNZ5A2XRowvOg/qYVq6hDUJgQHR/UQ==，该网（wǎng）站后台为宝塔面板：

② 线程二（èr）

针对（duì）英雄联盟客户端进行注入操作，将自身释放出（chū）的（de）一个PE文件，注入进LeagueClient.exe，主要为获取auth-token值和app-port值，然后将获（huò）取得到的值存放在C:\ a.dat中，为（wéi）后续构建发送消息的链接所用：

③ 线（xiàn）程三

根据获得的（de）auth-token值（zhí）和app-port值（zhí），构（gòu）建（jiàn）相应的（de）消息发送链接（jiē），然后发送相（xiàng）应（yīng）的广告信息，完（wán）成（chéng）**广告的（de）发（fā）送：

不过由于（yú）相关服务链接的失效(http://43.224.29.58/msg/2.txt)，暂未能获取相应的广告信息（xī）配置数据，但根据该木马（mǎ）内置的（de）一个关（guān）键词替（tì）换字典信息（xī）以（yǐ）及网（wǎng）上的相关反（fǎn）馈来看，猜测（cè）为同（tóng）一类型的（de）木马（mǎ），发（fā）送的是**类型广告：

除了在（zài）英雄（xióng）联盟客户端内（nèi）发送**广（guǎng）告外，病毒还会利用QQ的快速登录（lù），盗取ClientKey值（zhí），然后在（zài）空间的说说中（zhōng），加（jiā）入定时说说，定时发送广告：

木马二：棋牌游戏盗号木马

这（zhè）个就简单说一下（xià），因为主要针对该棋（qí）牌（pái）游戏盗（dào）号（hào）木马插件主要（yào）针（zhēn）对以下4款游戏（xì）：

木（mù）马通（tōng）过检测以（yǐ）上4款（kuǎn）游戏窗口找到游戏（xì）主（zhǔ）进程，然后通（tōng）过远程线程注入（rù）盗号DLL模块，挂钩（gōu）指（zhǐ）定函数（shù），在（zài）用户进出游戏房间、存取（qǔ）游戏币、修改帐号密（mì）码等操作（zuò）时拿（ná）到账户信息并上传。

盗号DLL模块在游戏进程加载后，会挂钩游戏（xì）相关的（de）功（gōng）能函数，拦（lán）截游戏（xì）内部消息。在用户进行（háng）登录（lù）、进入房（fáng）间、存取钱、绑定解绑、修改密码等操作时，获取用户账户密码、银行密码、游戏币（bì）等数（shù）据，并加密上传至服务器。

其中针对登录（lù）游戏（xì）、进（jìn）入房间（jiān）、修改密码这3类操作会（huì）获取并上报用户的机器码Pr_MAC用于远程解绑洗号（hào），当账号异地登录时会替（tì）换（huàn）本地的提（tí）示消息，防（fáng）止用户发（fā）现账号被盗（和上面英雄联盟（méng）的非法（fǎ）广告一样（yàng），玩家（jiā）自己是（shì）看不到自（zì）己发（fā）送的**广告的（de）。）：

那么（me），这种盗号（hào）方式（shì）有用（yòng）吗？答案是（shì）肯定的（de），以下是病（bìng）毒作（zuò）者服务器上收集到的账号信息：

以上就是英雄联盟非法（fǎ）**广告和棋牌盗号木马（mǎ）程（chéng）序的（de）所有运行原理（lǐ）。网（wǎng）狐坚（jiān）决反对任何非法**广（guǎng）告，对正规棋（qí）牌游（yóu）戏的盗（dào）号（hào）产业（yè）也深（shēn）恶（è）痛绝（jué）。天辰娱乐坚信（xìn）只有绿色（sè）、健康的棋牌（pái）游戏才是行（háng）业的未来。天辰娱乐科技致力于棋牌游（yóu）戏开发15年，拥有大量（liàng）棋牌游戏成功案例。

想开发（fā）一款（kuǎn）迅速盈利的棋（qí）牌游戏，欢迎咨询热线（xiàn）电（diàn）话：400-000-7043