RSS订阅追求最高效、最简单的解决方案
你的位置:首页 » 问题分享 » 正文

11对战平台挂马问题解析

选择字号: 超大 标准 小哥 发布于2016年09月02日 属于 问题分享 栏目  0个评论 3128人浏览

【问题现象】

玩11对战平台途中客户机会多出很多垃圾程序或者报错或者机器会蓝屏重启

QQ截图20160902104907.png

QQ截图20160902104835.png

QQ截图20160902104914.png


【问题解析】

1、有木马就肯定有程序,那么就先按老办法用windowsmonitor或者processmonitor抓下整个过程,根据现场的报错远程来看是有一个进程名为ADODB.Stream.dllradDEDD6.tmp.eXe的程序

QQ截图20160902123818.png


我们再看下windowsmonitor的日志(看不清楚的可以点击图片查看放大后的内容

QQ截图20160902123934.png

QQ截图20160902124006.png

QQ截图20160902124101.png


从这里我们可以得知有程序运行了cmd.exe创建了vbs脚本后开始出现的内容,但是windowsmonitor没记录到cmd.exe的父进程,如日志图中的第一图,父进程为5904,路径为0。之前讲过只要日志抓取的信息中出现0的则只有PID信息是准确的,其他信息为错误的

尝试用processmonitor抓取时候发现运行起来机器就会蓝屏重启,显然这是有针对性的。


2、既然应用层windowsmonitor抓不到详细信息,那么我们只能从网络层入手。程序想后台下载就得走http协议,这样我们就部署下httpanalyzer,抓下程序的网络层信息

QQ截图20160902124729.png


从图中可以清晰看出,在程序部署完后的三分钟左右就出现了wscript.com以及后面的木马程序ADODB.Stream.dllradDEDD6.tmp.eXe右那我们就从windowsmonitor中的那个www.lolssss.com域名入手,看下哪个程序最先访问的这个域名。


QQ截图20160902125023.png


(下面都是尺寸比较大的图片,看不清楚的可以点击图片查看放大后的内容

QQ截图20160902125220.png


这里我们得知居然是11homepage.exe访问的木马网站,为了验证该域名是否为挂马网站可以拿360或者任意带浏览器防护的安全软件都可以访问测试


QQ截图20160902130006.png


经过咨询11对战平台开发后他们确认www.lolssss.com不是该公司域名,那么正常情况下程序不应该会访问。这里可能猜测是有js插入,也有可能是11访问的某个域名被劫持到这个www.lolssss.com上了。那我们顺着JS插入这条线索继续往上找


QQ截图20160902134301.png


我们可以看到是http://game.happy.qq.huaxinddc.com/rd/back/lm2.js中指向到www.lolssss.com的,再继续根据这个思路往上查找


QQ截图20160902134824.png

顺着这个思路继续看


QQ截图20160902141718.png

QQ截图20160902141959.png


看到这里时候我们才得知是11homepage.exe访问的http://pt.5211game.com/Plat/LoginArea/NewsList/news.shtml?userid=0 页面才有了后面的问题,拿到这个情况后第一时间与11对战平台询问确认该JS并非程序自带的。为了近一步确认改问题的原因,我们用浏览器手动访问了该页面


QQ图片20160902142952.jpg


看到这幅图的时候才发现怪不得11对战平台看上去没问题,因为客户端程序只显示左上角的一部分。而右下角的加载内容是无法显示的,当我们用技术手段看下最终的结果。这样大家就能理解为什么11客户端出问题了把。


QQ图片20160902143632.png



【后续以及解决办法】

1、从技术手法看与IE浏览器高危远程执行漏洞技术一致,遗憾的是微软没有提供安全补丁,也有可能是因为技术原因暂未定位到哪个漏洞原理,这里就需要高手协助了。

2、经过反复确认该木马只对IE8\IE9以及以下版本有效果

QQ截图20160902144305.png

3、解决办法很简单,屏蔽域名www.lolssss.com、升级IE11浏览器、禁止IE进程运行子进程(例如cmd.exe)

4、这里面为什么讲一下11对战平台是最先出问题的呢?因为大多数厂家涉及URL展示的程序早已更换webkit内核,而11对战平台的还在用IE7的公共控件

QQ截图20160902105339.png


后续有新的进展再做更新,本文由(顺网小哥)原创编译,转载请保留链。

标签:木马盗号病毒

1
右侧2016一起努力
最新发布的文章
最新评论