<kbd id="9l9ebd5v"></kbd><address id="9l9ebd5v"><style id="9l9ebd5v"></style></address><button id="9l9ebd5v"></button>

              <kbd id="tqec1dw6"></kbd><address id="tqec1dw6"><style id="tqec1dw6"></style></address><button id="tqec1dw6"></button>

                  最全面的棋牌行業資訊
                  棋牌資訊
                  返回 >
                  揭祕:英雄聯盟非法博彩廣告&棋牌盜號灰產
                  發佈時間:2019-04-28 15:41編輯:網狐管理員來源:深圳市葡京游戏app
                  字號:

                  如果你是一個英雄聯盟玩家,在遊戲結束對局結算界面肯定看到過各種博彩廣告,甚至一度認爲和你對局遊戲的是人工智能 。要知道,英雄聯盟這款遊戲雖然已經過了巔峯期 ,但依舊是最受歡迎的端遊 ,非高峯期的同時在線人數也有上百萬人,那麼這種針對英雄聯盟的非法廣告實際情況是怎樣的?其原理是什麼呢?

                  據網狐瞭解 ,這是一種針對在線棋牌遊戲進行盜號 ,並且同時能夠在英雄聯盟客戶端內羣發博彩廣告 ,從而進行引流的木馬  。木馬作者通過調用英雄聯盟客戶端本地消息發送的API ,當一局遊戲結束顯示戰績時,就會發送博彩羣的廣告或者鏈接,爲了避免消息被過濾攔截 ,還會採用同音字替換的方式繞過過濾攔截 。

                  而據網狐瞭解 ,大部分發送此類信息的玩家,都處於網吧環境 。在分析期間,該病毒的插件的功能也是每天更新,單個變種感染量達3W+。

                  技術分析

                  先大致說說該病毒的主要運行流程:

                  此類病毒運行後,首先會複製自身到system32下一個隨機命名的文件夾裏,然後重命名僞裝自身爲系統文件 ,會被僞裝的文件名列表如下:

                  接着 ,從服務器下載一個加密圖片文件 ,當然,這不是病毒本體。經過多重解密後 ,我們發現其爲一個DLL 文件,該DLL文件的主要功能是去下載另外2個木馬文件:英雄聯盟廣告木馬和棋牌遊戲盜號木馬:

                  木馬一:英雄聯盟廣告木馬

                  爲防止安全分析人員溯源、追查到其真實身份 ,病毒作者提前將該木馬上傳到了公共圖片服務器中,如:新浪、百度、網易等

                  上傳放置圖片所用的服務器

                  下載得到的文件 ,同樣是僞裝加密的圖片文件 ,解密後,依舊是一個DLL文件 ,而這個DLL就是最終的木馬文件。這個DLL文件中包含了兩個額外的PE文件:CURL庫文件和一個用於注入LeagueClient.exe進程的文件。該DLL文件加載運行後,首先會創建3個線程:

                  ① 線程一

                  數據上報至統計服務器:http://api.hjhmc.com/c.php?md5=/AbW5ekasENZnoFYhA86kLY2HNZ5A2XRowvOg/qYVq6hDUJgQHR/UQ==,該網站後臺爲寶塔面板:

                  ② 線程二

                  針對英雄聯盟客戶端進行注入操作,將自身釋放出的一個PE文件,注入進LeagueClient.exe ,主要爲獲取auth-token值和app-port值 ,然後將獲取得到的值存放在C:\ a.dat中,爲後續構建發送消息的鏈接所用:

                  ③ 線程三

                  根據獲得的auth-token值和app-port值 ,構建相應的消息發送鏈接,然後發送相應的廣告信息,完成博彩廣告的發送:

                  不過由於相關服務鏈接的失效(http://43.224.29.58/msg/2.txt),暫未能獲取相應的廣告信息配置數據 ,但根據該木馬內置的一個關鍵詞替換字典信息以及網上的相關反饋來看 ,猜測爲同一類型的木馬 ,發送的是博彩類型廣告:

                  除了在英雄聯盟客戶端內發送博彩廣告外 ,病毒還會利用QQ的快速登錄,盜取ClientKey值 ,然後在空間的說說中,加入定時說說 ,定時發送廣告:

                  木馬二:棋牌遊戲盜號木馬

                  這個就簡單說一下 ,因爲主要針對該棋牌遊戲盜號木馬插件主要針對以下4款遊戲:

                  木馬通過檢測以上4款遊戲窗口找到遊戲主進程 ,然後通過遠程線程注入盜號DLL模塊 ,掛鉤指定函數 ,在用戶進出遊戲房間、存取遊戲幣、修改帳號密碼等操作時拿到賬戶信息並上傳 。

                  盜號DLL模塊在遊戲進程加載後 ,會掛鉤遊戲相關的功能函數 ,攔截遊戲內部消息。在用戶進行登錄、進入房間、存取錢、綁定解綁、修改密碼等操作時,獲取用戶賬戶密碼、銀行密碼、遊戲幣等數據 ,並加密上傳至服務器。

                  其中針對登錄遊戲、進入房間、修改密碼這3類操作會獲取並上報用戶的機器碼Pr_MAC用於遠程解綁洗號,當賬號異地登錄時會替換本地的提示消息 ,防止用戶發現賬號被盜(和上面英雄聯盟的非法廣告一樣,玩家自己是看不到自己發送的博彩廣告的。):

                   那麼,這種盜號方式有用嗎?答案是肯定的 ,以下是病毒作者服務器上收集到的賬號信息:

                  以上就是英雄聯盟非法博彩廣告和棋牌盜號木馬程序的所有運行原理。網狐堅決反對任何非法博彩廣告,對正規棋牌遊戲的盜號產業也深惡痛絕 。網狐堅信只有綠色、健康的棋牌遊戲纔是行業的未來。葡京游戏app致力於棋牌遊戲開發15年 ,擁有大量棋牌遊戲成功案例 。

                     想開發一款迅速盈利的棋牌遊戲,歡迎諮詢熱線電話:400-000-7043


                  掃碼二維碼諮詢更多棋牌遊戲問題


                  本文版權歸網狐所有 ,如若轉載請註明出處

                  ( 全文完 )
                  客服中心

                  關注公衆號獲取行業乾貨

                  在線客服

                  易小姐QQ交談
                  張小姐QQ交談
                  南小姐QQ交談
                  周小姐QQ交談

                  服務熱線

                  400-000-7043
                  返回頂部 QQ在線 電話諮詢 關注官微 官方微信 點擊分享

                  官方微信

                  微信

                  微信號: 網狐棋牌開發公衆號

                  掃一掃,關注網狐

                  發現更多精彩

                  官方熱線

                  服務熱線

                  企業QQ

                  客服熱線

                  分享

                  QQ空間

                  騰訊微博

                  QQ 好友

                  新浪微博

                  開心網

                  貼吧

                  微信

                  人人網