最近，360安全大腦檢測(cè)到了名為“LOL Kate box”的皮膚更換軟件，正在后臺(tái)偷偷發(fā)送QQ空間/關(guān)注不足暗刷響應(yīng)和QQ/WeGame盜號(hào)相關(guān)木馬病毒。隨著英雄聯(lián)盟這個(gè)游戲龐大的用戶數(shù)量，這種病毒的感染量也在持續(xù)增加。

LOL凱特盒子的官網(wǎng)如下：

技術(shù)分析

LOL凱特盒子運(yùn)行后，會(huì)從"天翼云盤"下載病毒程序Skin_GG1.zip（該文件并非壓縮文件，而是32位可執(zhí)行文件），Skin_GG1.zip除了給QQ空間和興趣部落刷回復(fù)之外，還會(huì)加載資源中攜帶的Win32Dll.dll，動(dòng)態(tài)庫(kù)被加載后會(huì)釋放鍵盤記錄驅(qū)動(dòng)c，并通過(guò)發(fā)送不同的控制碼控制病毒驅(qū)動(dòng)記錄用戶輸入的鍵盤記錄。整體的病毒流程如下圖所示：

后門

Skin_GG1.zip會(huì)先從www.wu52q.cn/?c=Public&a=get_config獲取如下的配置信息：

解析配置文件，并根據(jù)配置文件執(zhí)行不同的病毒邏輯，當(dāng)goto_svchost字段的值為1時(shí)，病毒會(huì)將自身偽裝成系統(tǒng)文件c，根據(jù)c1的值來(lái)判斷是否下載其他病毒模塊，d1則是對(duì)應(yīng)的下載鏈接。當(dāng)執(zhí)行完上述流程之后，就進(jìn)入刷量的主流程，完整的病毒邏輯，如下圖所示：

配置文件中d1的值由云端控制，病毒作者可以派發(fā)不同類型的病毒模塊（不排除派發(fā)勒索，挖礦等惡性病毒）。此處配置對(duì)應(yīng)下載的病毒模塊z3ydemw7.cfg是一個(gè)通過(guò)彈窗替博彩網(wǎng)站引流的程序：

暗刷

Skin_GG1.zip從www.wu52q.cn/?c=Public&a=get_task獲取刷量配置，其中cont字段中保存要回復(fù)的內(nèi)容。然后利用QQ快速登錄協(xié)議的缺陷，偽造相關(guān)的請(qǐng)求包進(jìn)行刷量：

測(cè)試過(guò)程中發(fā)現(xiàn)是替"腐女部落"，"耽美部落"等興趣部落刷回復(fù)，此外在代碼邏輯中還看到刷QQ空間回復(fù)的相關(guān)代碼邏輯。

盜號(hào)

Skin_GG1.zip資源中攜帶盜號(hào)的動(dòng)態(tài)庫(kù)Win32Dll.dll，調(diào)用其導(dǎo)出函數(shù)_E()，開始執(zhí)行盜號(hào)邏輯：

Win32Dll.dll會(huì)釋放一個(gè)病毒驅(qū)動(dòng)到%temp%目錄下加載，該驅(qū)動(dòng)是一個(gè)鍵盤記錄器，可以從應(yīng)用層通過(guò)DeviceIoControl()發(fā)送不同的控制碼來(lái)控制驅(qū)動(dòng)監(jiān)視鍵盤記錄，驅(qū)動(dòng)文件信息如下：

不同的控制碼對(duì)應(yīng)的功能如下：

Win32Dll.dll在檢測(cè)到當(dāng)前窗口是QQ或者WeGame的窗體時(shí)，就發(fā)送0x0x222004開始監(jiān)聽鍵盤記錄，記錄完成后發(fā)送0x222010讀取記錄的數(shù)據(jù)，并將其發(fā)送到C&C服務(wù)器，代碼邏輯如下：

溯源

在LOL凱特盒子官網(wǎng)（www.lolkt.cn），我們發(fā)現(xiàn)該軟件作者的網(wǎng)名叫 "淡忘的小毅"， 在官網(wǎng)的"聯(lián)系本站"界面，我們找到病毒作者的QQ號(hào)為1490201192：

在軟件"關(guān)于凱特"選項(xiàng)中，"捐贈(zèng)作者"的支付寶賬號(hào)和微信賬號(hào)也都是這名叫"淡忘的小毅"的"網(wǎng)友"。

在支付寶付款界面看到他的真名應(yīng)該叫"*國(guó)伍"

安全建議

（1） 盡量不使用未知安全性的軟件，不使用破解程序，游戲輔助，外掛等等。

（2）使用過(guò)LOL凱特盒子的用戶，建議盡快修改QQ密碼，并通過(guò)wei下載360安全衛(wèi)士進(jìn)行查殺。