近期，360安全大腦檢測到一款名為“LOL凱特盒子”的換膚軟件，在后臺偷偷下發(fā)QQ空間/興趣部落暗刷回復(fù)和QQ/WeGame盜號相關(guān)的木馬病毒，基于英雄聯(lián)盟這款游戲龐大的用戶量，此類病毒的感染量也在持續(xù)上漲。LOL凱特盒子的官網(wǎng)如下：

技術(shù)分析

LOL凱特盒子運(yùn)行后，會從“天翼云盤”下載病毒程序Skin_GG1.zip（該文件并非壓縮文件，而是32位可執(zhí)行文件），Skin_GG1.zip除了給QQ空間和興趣部落刷回復(fù)之外，還會加載資源中攜帶的Win32Dll.dll，動態(tài)庫被加載后會釋放鍵盤記錄驅(qū)動ctrl2cap64.sys，并通過發(fā)送不同的控制碼控制病毒驅(qū)動記錄用戶輸入的鍵盤記錄。整體的病毒流程如下圖所示：

后門

Skin_GG1.zip會先從http://www.wu52q.cn/?c=Public&a=get_config獲取如下的配置信息：

解析配置文件，并根據(jù)配置文件執(zhí)行不同的病毒邏輯，當(dāng)goto_svchost字段的值為1時，病毒會將自身偽裝成系統(tǒng)文件csrss.exe，根據(jù)c1的值來判斷是否下載其他病毒模塊，d1則是對應(yīng)的下載鏈接。當(dāng)執(zhí)行完上述流程之后，就進(jìn)入刷量的主流程，完整的病毒邏輯，如下圖所示：

配置文件中d1的值由云端控制，病毒作者可以派發(fā)不同類型的病毒模塊（不排除派發(fā)勒索，挖礦等惡性病毒）。此處配置對應(yīng)下載的病毒模塊z3ydemw7.cfg是一個通過彈窗替博彩網(wǎng)站引流的程序：

暗刷

Skin_GG1.zip從http://www.wu52q.cn/?c=Public&a=get_task獲取刷量配置，其中cont字段中保存要回復(fù)的內(nèi)容。然后利用QQ快速登錄協(xié)議的缺陷，偽造相關(guān)的請求包進(jìn)行刷量：

測試過程中發(fā)現(xiàn)是替“腐女部落”，“耽美部落”等興趣部落刷回復(fù)，此外在代碼邏輯中還看到刷QQ空間回復(fù)的相關(guān)代碼邏輯。

盜號

Skin_GG1.zip資源中攜帶盜號的動態(tài)庫Win32Dll.dll，調(diào)用其導(dǎo)出函數(shù)_E()，開始執(zhí)行盜號邏輯：

Win32Dll.dll會釋放一個病毒驅(qū)動到%temp%目錄下加載，該驅(qū)動是一個鍵盤記錄器，可以從應(yīng)用層通過DeviceIoControl()發(fā)送不同的控制碼來控制驅(qū)動監(jiān)視鍵盤記錄，驅(qū)動文件信息如下：

不同的控制碼對應(yīng)的功能如下：

Win32Dll.dll在檢測到當(dāng)前窗口是QQ或者WeGame的窗體時，就發(fā)送0x0x222004開始監(jiān)聽鍵盤記錄，記錄完成后發(fā)送0x222010讀取記錄的數(shù)據(jù)，并將其發(fā)送到C&C服務(wù)器，代碼邏輯如下：

溯源

在LOL凱特盒子官網(wǎng)（http://www.lolkt.cn），我們發(fā)現(xiàn)該軟件作者的網(wǎng)名叫 “淡忘的小毅”， 在官網(wǎng)的“聯(lián)系本站”界面，我們找到病毒作者的QQ號為1490201192：

在軟件“關(guān)于凱特”選項(xiàng)中，“捐贈作者”的支付寶賬號和微信賬號也都是這名叫“淡忘的小毅”的“網(wǎng)友”。

在支付寶付款界面看到他的真名應(yīng)該叫“*國伍”

安全建議

盡量不使用未知安全性的軟件，不使用破解程序，游戲輔助，外掛等等。

（2）使用過LOL凱特盒子的用戶，建議盡快修改QQ密碼，并通過http://weishi.#下載360安全衛(wèi)士進(jìn)行查殺。