×
大家都在搜

DBNT云维护技术支持 - 深圳市聚源科技有限公司

QQ登录

只需一步,快速开始

+发表新主题

举报一个去广告盗号团伙

[复制链接]

举报一个去广告盗号团伙

doucu 发表于 2015-8-24 20:33:07 浏览:  1121 回复:  9 [显示全部楼层] 回帖奖励 |倒序浏览 |阅读模式
最近网吧总有客户来反映各种游戏帐号被盗,而我最近也没有更新任何程序,比较好奇哪里出现的问题,想了下只有网维大师的去广告版本有嫌疑,就分析了下这个去广告程序iCafe8NoAD-V1.7

结果惊艳了我

去广告版本运行后,计时5分钟后,后台隐藏访问腾讯微博,http://t.qq.com/ninizhanglove,读取一条加密过的微博,
微博内容如下
512CODE:C=R=Sw8LEyYV8G2dWz5F8W1bXhL9RC1OMwPUWj1O805VJmWbDuCIDj9M4zUM4jXZGuBIOXRZ9r9NWW8Y5yBRJ3UL2vIo9DBcQ07R4H4a@|

分析解密算法,字符串分割取出C=R=Sw8LEyYV8G2dWz5F8W1bXhL9RC1OMwPUWj1O805VJmWbDuCIDj9M4zUM4jXZGuBIOXRZ9r9NWW8Y5yBRJ3UL2vIo9DBcQ07R4H4a@

字符串反转@a4H4R70QcBD9oIv2LU3JRBy5Y8WWN9r9ZRXOIBuGZXj4MUz4M9jDICuDbWmJV508O1jWUPwMO1CR9LhXb1W8F5zWd2G8VYyEL8wS=R=C

每间隔一位取出aHR0cDovL3RyYWNrZXIuZjMzMjIubmV0OjUwOC9hbWFzdGVyLw==

BASE64解密得出http://tracker.f3322.net:508/amaster/

然后与程序内字符串组合得出http://tracker.f3322.net:508/amaster/GetInfo2t.asp?adid=去广告版本号&mac=网卡地址&systemver=系统版本

发包访问这个地址后,服务器返回一段加密的字符串

90W57WXZIy3JS3TbS0P5QCSOX1IYWjRMMvQYJT1MR4Yg6jPOA0RVXm5bZu1IBjTMSz0MRj4Z9uBIWXYZ1r6NVWUY8y4RR38L9v6oNDRcD0ORGHDa@

按照解密算法解密后结果http://tracker.f3322.net:8816/2658.torrent

一个种子文件,难道是苍老师福利?我们把种子文件下回来,用迅雷打开,出现的这一幕,好慌张,csrss.exe,svchost.exe,好常见的木马伪装系统进程。

种子服务器列表 udp://tracker1.yd165.com:6868/announce http://tracker1.yd165.com:6868/announcehttp://tracker.f3322.net:6969/announce

我们来分析下,这个号称无后门的去广告程序给我们下回来些什么东西

svchost.exe一个隐藏连接手机狂装APP的程序。

ctfmon进程内被注入一个DLL,我们来看下这个DLL是干什么的,哇哦,好多游戏进程,木马下载者无疑,

判断游戏进程是否存在,如果存在,发送作者设定好的编号到服务器,获取对应的木马的下载地址,下载运行。

比较搞笑的是,这个作者好贼,还有随机过滤功能,就是说不是每次开机每个游戏都会去下载游戏木马回来运行。

我很好奇这么损的作者到底是个怎么样的人,让我们用上面搜集到的资料来人肉一下这个作者,看能否找到什么有实际性意义的内容。

微博信息,张小妮,地区瓜德罗普,一看就是虚假信息,没意义,放弃。

域名信息,tracker.f3322.net 这个域名是3322的二级域名,查不到什么信息,放弃。

种子信息里的域名,tracker1.yd165.com,我们来查下这个域名的资料,

YD165.COM,主办单位名称:滕海鸣,

这个域名对应的网站百度有快照,让我们来翻一翻,网站标题 NetBar SoftWare - NetBar 网吧娱乐平台,好像是类似网维大师的游戏菜单类哦,让我们来搜索下NetBar SoftWare搜集下信息

根据相关内容各种关联人肉出下列相对有用的信息:


相关服务器IP
115.231.217.62   
61.160.212.166
117.21.191.179   
58.218.211.20
117.21.191.181
162.247.96.247
101.78.151.181

官方QQ群: 21783128  63426574  2849543 103963678
联系QQ号: 630131895  2014704
联系电话: 15320505021
电子邮件: NetBarP2P@163.com
Skype:cqdtdt@hotmail.com

开户银行:  招商银行重庆分行银行部
银行帐号:  6225 8812 3680 4679
帐户姓名:  滕海鸣

开户银行:  中国建设银行重庆分行南坪支行(珊瑚储蓄所)
银行帐号:  4367 4237 6251 1111 075
帐户姓名:  滕海鸣

支付宝帐号:  cqdtdt@163.com
支付宝户名:  滕海鸣

网名MOODSKY,MOODSKY2002

手机18983253255 重庆电信
滕德华

重庆经济技术开发区远达电脑维修服务工作室位于重庆市南坪西路31号A座5楼14号,座机电话是023-62981199

QQ757643154

重庆经济技术开发区远达电脑维修服务工作室,工商注册号5009022300097 2015年工商年审未报,被拉黑户

投资人
滕海鸣

蛮有收获的,信息组织起来就是,作者是一为重庆名叫滕海鸣或滕德华的小程序员,在开发区开了一间修电脑的工作室,瞬间好同情重庆人民,你们去修电脑的时候是不是电脑上的资料,艳照都被偷走了。

17119191
1909618163
757643154
2253819166
7986548
2857339562
63013895
2014704
78524058
630131895
591623142   以上均是此团伙的马甲, 目前各种信息看来,他们已然数据团伙作案了

作者群  332603119,199915724,170041520    群里的小伙伴们  可一定要看好自己的网吧了

永硕网盘http://moodsky2002.ys168.com/  下载密码:adkill999
360网盘http://yunpan.cn/cAVNCxjKThJP7  (提取密码:672d)
永硕网盘http://cocoxj.ys168.com/
百度网盘 http://pan.baidu.com/s/1jnMm6 密码: p6jn

以上网盘全是他们的去广告程序

分析所有去广告程序,全大同小异的有后门,偷取网游帐号,偷偷往客户手机里安装流氓扣费软件。

有用这个系列去广告的同学们,在路由里封禁掉http://t.qq.com/ninizhanglove这个微博就可以

腾XX,准备好坐牢了吗?
回复

使用道具 举报

zwfgdlc zwfgdlc 发表于 2015-8-24 22:10:59 显示全部楼层
这年头,无利不起早,哪有这么多雷锋。

点评

第三条又在发了,  详情 回复 发表于 2015-9-2 15:14
是啊,太少了。  详情 回复 发表于 2015-8-24 22:27
这种去广告都敢用  详情 回复 发表于 2015-8-24 22:20
回复 支持 反对

使用道具 举报

the886 the886 发表于 2015-8-24 22:20:22 显示全部楼层
zwfgdlc 发表于 2015-8-24 22:10
这年头,无利不起早,哪有这么多雷锋。

这种去广告都敢用

点评

超版,第三个那地址,又在发了,  详情 回复 发表于 2015-9-2 15:14
不要问是内裤,还是外裤,内外都是酷!
回复 支持 反对

使用道具 举报

doucu
 楼主|
doucu 发表于 2015-8-24 22:27:29 显示全部楼层
zwfgdlc 发表于 2015-8-24 22:10
这年头,无利不起早,哪有这么多雷锋。

是啊,太少了。
回复 支持 反对

使用道具 举报

zwfgdlc zwfgdlc 发表于 2015-8-24 23:03:47 显示全部楼层
回复 支持 反对

使用道具 举报

lpxx lpxx 发表于 2015-8-25 09:33:57 显示全部楼层
你这分析太牛XX了。
很高心认识你
回复 支持 反对

使用道具 举报

dengowen dengowen 发表于 2015-8-25 21:10:40 显示全部楼层
看到 iCafe8NoAD-V1.7  表示我用过他们1.75版(好像是),之后网吧就有反映被盗号,就像LZ分析它不是每次都盗,带有随机性。那时在他们的群就反应过,群主就是装迷糊,让反映盗号的人提供现场,总之就是不认。
回复 支持 反对

使用道具 举报

system1 system1 发表于 2015-9-2 15:14:21 显示全部楼层
zwfgdlc 发表于 2015-8-24 22:10
这年头,无利不起早,哪有这么多雷锋。

第三条又在发了,
恶意灌水/重复发贴   
回复 支持 反对

使用道具 举报

system1 system1 发表于 2015-9-2 15:14:44 显示全部楼层
the886 发表于 2015-8-24 22:20
这种去广告都敢用

超版,第三个那地址,又在发了,
恶意灌水/重复发贴   
回复 支持 反对

使用道具 举报

system1 system1 发表于 2015-9-2 15:15:58 显示全部楼层
楼主的分析能力很强。
恶意灌水/重复发贴   
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

DBNT云维护技术支持 - 深圳市聚源盛世传媒有限公司 ( 粤ICP备17103197号 )

-