病毒分析四：steam盗号病毒

一、样本简介

样本是吾爱破解论坛找到的，原网址：https://www.52pojie/thread-991061-1-1.html，
样本链接: https://pan.baidu/s/1s6-fa6utvkFJsqQRTCT_fA 提取码: tptf

此盗号木马伪装成QT语音安装文件，在开黑时，发给受害者，受害者点击后，qq账号和密码，steam账号和密码会被窃取。

二、现象描述

点开样本后，表面上感觉不到任何事情的发生，实际上内部做了很多事情。

三、样本信息
MD5值：a835a69b4ef12a255d3d5b8c5d3f721c
SHA1值：201566a7f058d8147bb29486a59151fc7240d04f
CRC32校验码: eb6e36f1

四、样本分析

1)、运行后，样本会进行几个注册表的操作，主要为以下操作

然后创建文件waxe.exe，写入数据到文件里，文件里的数据都在只读数据段，0x0047D5A4开始，大小为0x86000。

启动新进程waxe.exe

2）、将文件Waxe.exe移动到C盘Temp目录下，并将文件属性设置为隐藏，删除C:\Windows\Waxe.exe文件。启动Temp目录下的文件，创建新进程。
到这一步为止，病毒一直在移动自己的位置，并不断启动新进程。目的是隐藏自己。在新的进程里，病毒开始执行盗号逻辑。
3）、通过地址为0x0042D839的函数进行提权，用到的函数都是通过GetProcAddress获取的

4）、设置定时器，不断尝试从地址 http://43.248.186.95:90/exe.txt 下载文件。目前该地址文件已被标记危险网站，无法下载了。

5）、遍历进程找到名为steam.exe的进程。结合原先病毒的传播方式，大概率会找到此进程。

然后通过地址为0x430C40的函数，搜索注册表，找到steam路径。

找steamclient模块

然后读取该模块里的内存，这一步像是暴力搜内存，搜steam账号和密码。

6）、接着再C:\目录下创建了version.dll。往里面写入了数据，并设为隐藏文件。
version.dll用做dll劫持，只要任何程序加载该dll就会调用里面的函数。

Version.dll加了upx壳，脱壳后，搜字符串

可以看到是通讯的，可以猜测这个dll，主要负责将收集到信息发送给作者。

7）、程序接着通过地址为0x4311C6的函数进行QQkey盗号，接着通过qq邮箱改steam密码

向远处服务器请求，获取到pt_local_token参数

带着` pt_local_token`，对本地端口进行请求，获取所有账号信息

for循环分析每个账号信息，

带着pt_local_token以及账号对本地端口进行请求，获取指定账号的clientkey

带着包含clientkey的cookie向远程服务器进行登录，就可以获得登录的Cookie（包含skey字段）。

最后通过上面生成的dll，通过dll劫持上传这些信息。

五、总结

作者通过暴力搜内存获取steam账号和密码，再通过qqkey获取qq账号。有这些信息就可以盗取用户的steam账号了。

用户可以考虑steam账号绑定非qq邮箱，从而避免此类危险。