4月1日凌晨，火絨安全團隊發出警報，部分“2345導航站”首頁的彈窗廣告攜帶盜號木馬，該病毒會偷取QQ、游戲平臺（steam、WeGame）、知名游戲（地下城與勇士、英雄聯盟、穿越火線）的賬號。這是一次設計精巧、組織周密的大規模盜號行動，利用周末時間突然發起攻擊，主要目標是網吧游戲用戶。

 

 

 

火絨工程師分析，部分“2345導航站”首頁右下角會彈出彈窗廣告（上圖紅色箭頭所指），該廣告頁面一經彈出，即可自動下載病毒，無需用戶點擊。病毒下載鏈接自動激活后，首先訪問跳板網站“yyakeq.cn”（存放跳板腳本以及flash漏洞），然后再從“ce56b.cn”網站下載病毒，而盜取的QQ、游戲等賬號則被上傳到“zouxian1.cn”網站。

 

該病毒利用IE瀏覽器漏洞和Flash漏洞進行傳播，受影響Flash控件版本從21.0.0.180至31.0.0.160。所有使用360、搜狗等主流瀏覽器的用戶，如果其Flash控件是以上版本，都會被感染。

 

安裝最新版“火絨安全軟件”，即可徹底查殺該病毒。該病毒整個傳播鏈條及所涉相關企業、疑似團伙嫌疑人等信息，請閱讀后附的詳細分析報告。

 

 

近期，火絨發現2345、hao774等多個2345旗下導航站中廣告內容帶有漏洞攻擊代碼。通過分析確認，我們初步認定2345旗下導航站被投毒。廣告內容涉及瀏覽器漏洞和Flash漏洞，漏洞代碼執行后會從C&C服務器（hxxps:// www.yyakeq.cn）下載執行病毒代碼，現階段火絨發現的病毒代碼內容多為盜號病毒。該漏洞攻擊只針對特定的推廣計費號，再聯系其廣告內容“高價在線回收所有網游裝備/金幣”，我們推斷此次攻擊主要針對對象主要為網絡游戲人群，且針對性極強。2345導航站中相關廣告內容和相關HTML代碼，如下圖所示：

 

 

2345導航站中相關廣告內容和相關HTML代碼

 

從頁面代碼看，該廣告展示代碼的植入也非常“奇特”，因為廣告展示鏈接是硬編碼在頁面代碼中的。根據web.archive.org的抓取結果，該廣告展示代碼應該于2019年3月25日至2019年3月28日期間首次上線，截至本報告撰寫時，該代碼仍然有效且漏洞和病毒邏輯仍可激活。惡意廣告內容為被包含在iframe標簽中的廣告頁面。頁面嵌套關系，如下圖所示：

 

病毒頁面嵌套調用關系

 

tj.html中首先會默認加載ad.html利用Flash漏洞進行攻擊，之后再根據瀏覽器的User Agent加載不同的IE漏洞利用代碼（banner.html或cookie.html）。相關代碼，如下圖所示：

 

頁面加載代碼

 

ad.html中的HTML代碼中包含有混淆后的JavaScript代碼。相關代碼，如下圖所示：

 

 

ad.html中的HTML代碼

 

ad.html中代碼會被先后解密兩次，最終得到漏洞調用代碼，根據漏洞利用代碼的調用邏輯，我們可以粗略確認受影響的Flash版本范圍為21.0.0.180 至 31.0.0.160之間。相關代碼，如下圖所示：

 

最終執行的漏洞攻擊相關調用代碼

 

漏洞被觸發后，會調用遠程HTA腳本會從C&C服務器地址（hxxp://www.ce56b.cn/logo.swf）下載病毒數據到本地進行解密執行，被解密后的病毒數據為下載者病毒。相關進程調用關系，如下圖所示：

 

漏洞觸發后的進程調用關系

 

病毒解密相關代碼，如下圖所示：

 

病毒解密代碼

 

banner.html和cookie.html最終也會執行類似的遠程HTA腳本最終通過相同的C&C服務器地址下載執行相同惡意代碼。相關代碼，如下圖所示：

 

解密遠程HTA腳本地址

 

漏洞觸發代碼

 

 

漏洞被觸發后，最終被下載執行的下載者病毒會根據C&C服務器返回的配置（hxxp://www.ce56b.cn/tj.txt），下載盜號木馬到本地進行執行。存在被盜號風險的軟件包括：Steam游戲平臺、WeGame游戲平臺、騰訊QQ、地下城與勇士、穿越火線、英雄聯盟。相關配置，如下圖所示：

 

 

下載者病毒配置

 

騰訊QQ、地下城與勇士、穿越火線游戲的盜號木馬均為Delphi編寫，通過偽造游戲登陸界面，欺騙誘導用戶輸入游戲賬號密碼，獲取到賬號密碼會發送到遠程C&C服務器（hxxp://we.zouxian1.cn）。相關代碼，如下圖所示：

 

提交賬號與密碼

 

英雄聯盟、WeGame游戲平臺同樣也是通過偽造游戲的登陸界面，獲取用戶的游戲賬號和密碼，并且賬號密碼也會發送到遠程C&C服務器（hxxp://we.zouxian1.cn）。相關代碼，如下圖所示：

 

提交賬號與密碼

 

在盜取Steam游戲平臺賬號密碼 時，首先該病毒會釋放libsteam.dll到steam目錄下,并調用該動態庫的導出函數InstallHook 用于安裝全局鉤子。相關代碼，如下圖所示：

 

調用導出函數

 

該動態庫會安裝全局鉤子，用于將自身注入到steam進程，當注入到steam進程后SteamUI.dll中TextEntry控件相關的函數,用于截取用戶的賬號密碼輸入。注入部分代碼，如下圖所示：

 

安裝全局鉤子

 

HOOK SteamUI.dll用于截獲用戶的賬號密碼。HOOK 相關代碼，如下圖所示：

 

 

HOOK SteamUI.dll

 

被盜取的賬號，同樣也會發送到遠程C&C服務器（hxxp://zouxian1.cn）。相關代碼，如下圖所示：

 

 

提交賬號與密碼

 

本次報告過程中獲取到的可溯源信息包括網馬信息和病毒相關信息，下文分塊進行溯源分析。

 

通過對域名yyakeq.cn和ce56b.cn的溯源，發現上述域名分別由名為“武漢躍譜騰科技有限公司”和名為“邵東綠設空間工程設計有限公司”的公司注冊，且兩公司還注冊了至少幾千個名稱看似毫無含義、近乎隨機生成的域名，其中一些域名指向頁面包含明顯的欺詐內容（如下圖所示），所以不排除這些域名是想在未來用作C&C服務的DGA（Dynamic Generation Algorithm）域名。

 

 

其中一個域名指向的頁面內容

 

yyakeq.cn域名注冊信息

 

ce56b.cn域名注冊信息

 

部分疑似DGA域名

 

部分疑似DGA域名

 

通過對盜號病毒收集URL的Whois查詢，可以得到如下信息：

 

域名zouxian1.cn注冊信息

 

另外通過該域名注冊信息的聯系人和聯系郵箱反查，此人以同樣的命名方式于2018年4月20日共注冊了15個近似域名：

 

 

域名注冊反查結果

 

另外，通過ICP備案查詢發現，其中部分域名還經過了ICP個人備案：

 

 

ICP備案查詢結果

 

并且同日（2018年4月20日），此人還用同樣的QQ郵箱（2659869342@qq.com）和不同的姓名注冊了另外兩個形式與前述域名相似的域名，如下圖所示：

 

 

域名注冊反查結果

 

 

 

文中涉及樣本SHA256：