【多楼分析】冒牌算当器mowuz里的目马究竟是什么个来头?
iiifish 2020/5/19 21:37:14 ( 1 )

作者:hzqst

原帖:https://tieba.baidu.com/p/6691240362


回顾《mowuz.com是盗号网站【防骗提示】【魔物观测者】


鉴于有同学不知道怎么辨别自己的算d器有没有挂🐎

 

这里给个简单方法:

petdll.dll

原版:18MB

木马:小于1MB

X通登录器POLCN_Launcher

原版:几百KB

木马:1MB以上


分析:

 

我自己13年留的petdll18MB




怎么到宁这儿就592KB了?

他会往易X通目录下写一大堆dll

8e2d3af33a87e95041eb5a0007385343faf2b48f.png

还把易X通登录器的主程序给换了个没壳的(原版的有UPX壳)

ade7d1c8a786c917aef6fb55de3d70cf3ac75796.png9fabc9177f3e67091af5ec932cc79f3df9dc5596.png

盗号核心是md5.dat(其实是个dll,会被POLCN_Launcher.exe加载)

ba0bcffc1e178a82a1d1d6cce103738da877e89e.png

这的md5.dat会从这个地址get一串日期字符串到本地,不清楚具体干什么用,可能是判断木🐎自身需要不需要更新?

0dd7e6cd7b899e51f467937855a7d933c9950d9a.png

他这个md5.dat上来就开了一堆线程,具体每个线程的代码我就不具体分析了,我就发一发特别明显的恶劣行为

全盘搜索文本文件、word文档,图片等等文件

 

替换游戏的住程序, 往游戏目录下释放lg32.dll文件(具体干什么的等下会说)

e92dbaa1cd11728b9be0254edffcc3cec2fd2cbe.png

可以很明显的看到写行为的发起者是md5.dat

cf1bafc379310a55bc0b7698a04543a98226105f.png

收集到的信息会被md5.dat上传到阿里云的oss,这个应该是阿里云的oss sdk代码

d8d39925bc315c6084bbc3839ab1cb1349547759.png

OSStoken都有,你有工具你也可以往它的OSS里上传哦

 


至于释放到游戏目录下的lg32.dll,则hook了游戏收发包函数

 

收包函数会记录一些号的信息,物品装备啥的

 

估计是用来筛选穷人的,太穷的人盗x哥都懒得动手

534d0c338744ebf87a65cc53cef9d72a6059a777.png

21f5bc3eb13533fa46a13b42bfd3fd1f41345b70.png

7b3b6d224f4a20a4090e94ab87529822720ed073.png

log也可以看出来它确实监控了收发包

 b23e632762d0f703d3aa3db01ffa513d2697c56b.png

分析完毕

 

我只想说互联网并非法外之地,盗号哥请谨言慎行


评论