最近网吧总有客户来反映各种游戏帐号被盗,而我最近也没有更新任何程序,比较好奇哪里出现的问题,想了下只有网维大师的去广告版本有嫌疑,就分析了下这个去广告程序iCafe8NoAD-V1.7
结果惊艳了我
去广告版本运行后,计时5分钟后,后台隐藏访问腾讯微博,http://t.qq.com/ninizhanglove,读取一条加密过的微博,
微博内容如下
512CODE:C=R=Sw8LEyYV8G2dWz5F8W1bXhL9RC1OMwPUWj1O805VJmWbDuCIDj9M4zUM4jXZGuBIOXRZ9r9NWW8Y5yBRJ3UL2vIo9DBcQ07R4H4a@|
分析解密算法,字符串分割取出C=R=Sw8LEyYV8G2dWz5F8W1bXhL9RC1OMwPUWj1O805VJmWbDuCIDj9M4zUM4jXZGuBIOXRZ9r9NWW8Y5yBRJ3UL2vIo9DBcQ07R4H4a@
字符串反转@a4H4R70QcBD9oIv2LU3JRBy5Y8WWN9r9ZRXOIBuGZXj4MUz4M9jDICuDbWmJV508O1jWUPwMO1CR9LhXb1W8F5zWd2G8VYyEL8wS=R=C
每间隔一位取出aHR0cDovL3RyYWNrZXIuZjMzMjIubmV0OjUwOC9hbWFzdGVyLw==
BASE64解密得出http://tracker.f3322.net:508/amaster/
然后与程序内字符串组合得出http://tracker.f3322.net:508/amaster/GetInfo2t.asp?adid=去广告版本号&mac=网卡地址&systemver=系统版本
发包访问这个地址后,服务器返回一段加密的字符串
90W57WXZIy3JS3TbS0P5QCSOX1IYWjRMMvQYJT1MR4Yg6jPOA0RVXm5bZu1IBjTMSz0MRj4Z9uBIWXYZ1r6NVWUY8y4RR38L9v6oNDRcD0ORGHDa@
按照解密算法解密后结果http://tracker.f3322.net:8816/2658.torrent
一个种子文件,难道是苍老师福利?我们把种子文件下回来,用迅雷打开,出现的这一幕,好慌张,csrss.exe,svchost.exe,好常见的木马伪装系统进程。
种子服务器列表 udp://tracker1.yd165.com:6868/announce http://tracker1.yd165.com:6868/announce http://tracker.f3322.net:6969/announce
我们来分析下,这个号称无后门的去广告程序给我们下回来些什么东西
svchost.exe一个隐藏连接手机狂装APP的程序。
ctfmon进程内被注入一个DLL,我们来看下这个DLL是干什么的,哇哦,好多游戏进程,木马下载者无疑,
判断游戏进程是否存在,如果存在,发送作者设定好的编号到服务器,获取对应的木马的下载地址,下载运行。
比较搞笑的是,这个作者好贼,还有随机过滤功能,就是说不是每次开机每个游戏都会去下载游戏木马回来运行。
我很好奇这么损的作者到底是个怎么样的人,让我们用上面搜集到的资料来人肉一下这个作者,看能否找到什么有实际性意义的内容。
微博信息,张小妮,地区瓜德罗普,一看就是虚假信息,没意义,放弃。
域名信息,tracker.f3322.net 这个域名是3322的二级域名,查不到什么信息,放弃。
种子信息里的域名,tracker1.yd165.com,我们来查下这个域名的资料,
YD165.COM,主办单位名称:滕海鸣,
这个域名对应的网站百度有快照,让我们来翻一翻,网站标题 NetBar SoftWare - NetBar 网吧娱乐平台,好像是类似网维大师的游戏菜单类哦,让我们来搜索下NetBar SoftWare搜集下信息
根据相关内容各种关联人肉出下列相对有用的信息:
相关服务器IP
115.231.217.62
61.160.212.166
117.21.191.179
58.218.211.20
117.21.191.181
162.247.96.247
101.78.151.181
官方QQ群: 21783128 63426574 2849543 103963678
联系QQ号: 630131895 2014704
联系电话: 15320505021
电子邮件: NetBarP2P@163.com
Skype:cqdtdt@hotmail.com
开户银行: 招商银行重庆分行银行部
银行帐号: 6225 8812 3680 4679
帐户姓名: 滕海鸣
开户银行: 中国建设银行重庆分行南坪支行(珊瑚储蓄所)
银行帐号: 4367 4237 6251 1111 075
帐户姓名: 滕海鸣
支付宝帐号: cqdtdt@163.com
支付宝户名: 滕海鸣
网名MOODSKY,MOODSKY2002
手机18983253255 重庆电信
滕德华
重庆经济技术开发区远达电脑维修服务工作室位于重庆市南坪西路31号A座5楼14号,座机电话是023-62981199
QQ757643154
重庆经济技术开发区远达电脑维修服务工作室,工商注册号5009022300097 2015年工商年审未报,被拉黑户
投资人
滕海鸣
蛮有收获的,信息组织起来就是,作者是一为重庆名叫滕海鸣或滕德华的小程序员,在开发区开了一间修电脑的工作室,瞬间好同情重庆人民,你们去修电脑的时候是不是电脑上的资料,艳照都被偷走了。
17119191
1909618163
757643154
2253819166
7986548
2857339562
63013895
2014704
78524058
630131895
591623142 以上均是此团伙的马甲, 目前各种信息看来,他们已然数据团伙作案了
作者群 332603119,199915724,170041520 群里的小伙伴们 可一定要看好自己的网吧了
永硕网盘http://moodsky2002.ys168.com/ 下载密码:adkill999
360网盘http://yunpan.cn/cAVNCxjKThJP7 (提取密码:672d)
永硕网盘http://cocoxj.ys168.com/
百度网盘 http://pan.baidu.com/s/1jnMm6 密码: p6jn
以上网盘全是他们的去广告程序
分析所有去广告程序,全大同小异的有后门,偷取网游帐号,偷偷往客户手机里安装流氓扣费软件。
有用这个系列去广告的同学们,在路由里封禁掉http://t.qq.com/ninizhanglove这个微博就可以
腾XX,准备好坐牢了吗? |
|
/1 
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
显身卡
做网吧行业最后死去的一个论坛
