590
社区成员
发帖
与我相关
我的任务
分享360旗下子公司设计木马窃取硬盘源码
刚才和朋友打了两局DOTA2,打的时候觉得很卡,尼玛家里电信独享8M,ping值超高,掉线三次后我就退出游戏了,一检查发现电脑里的游久超级助手在上传信息,自己写了个HIPS查看,发现是在扫描我硬盘上的源码,并上传。尼玛这年头下个游戏插件都不能放心使用了?
下面是我的详细分析报告:
1.游久网是奇虎360旗下公司的网站
2.该网站官方提供的 DOTA2游久超级助手 存在偷偷搜索用户的源码并上传到指定服务器的行为。
3. 基于源代码的保密性和重要性,其性质和直接偷窃用户资金没啥区别。
背景
行为分析
因环境不完整(需外服dota2),同是该样本为加了VMP的易语言程序,故暂时只能给一个初步的行为分析。
修改dota2游戏目录中的steam_api.dll 以加载器自己的两个dll( steamlib.dll,steamlibex.dll)
匹配指定关键词收集(lst,.list,.log,.e,.ec,.rc,.asp,.php,.htm,.html,.js,.css,.c,.vcproj,.vcxproj,.user,.filters,.cpp,.h,.lib,.suo,.sln,.cs,.resx,.settings,.csproj,.exe,.dll,.ini,.xml,.cfg,.txt,.doc,.rar,.zip,.7z)
查找如下注册表HKEY_CURRENT_USER\Software\Microsoft\VisualStudio 这个路径下的所有VS开发环境的路径,获取默认存放项目(projects)下的源代码
利用HTTP进行上传上述搜集到的用户文件到http://192.157.208.72/checkout/
服务器截图信息如下:
下面是我的详细分析报告:
1.游久网是奇虎360旗下公司的网站
2.该网站官方提供的 DOTA2游久超级助手 存在偷偷搜索用户的源码并上传到指定服务器的行为。
3. 基于源代码的保密性和重要性,其性质和直接偷窃用户资金没啥区别。
背景
行为分析
因环境不完整(需外服dota2),同是该样本为加了VMP的易语言程序,故暂时只能给一个初步的行为分析。
修改dota2游戏目录中的steam_api.dll 以加载器自己的两个dll( steamlib.dll,steamlibex.dll)
匹配指定关键词收集(lst,.list,.log,.e,.ec,.rc,.asp,.php,.htm,.html,.js,.css,.c,.vcproj,.vcxproj,.user,.filters,.cpp,.h,.lib,.suo,.sln,.cs,.resx,.settings,.csproj,.exe,.dll,.ini,.xml,.cfg,.txt,.doc,.rar,.zip,.7z)
查找如下注册表HKEY_CURRENT_USER\Software\Microsoft\VisualStudio 这个路径下的所有VS开发环境的路径,获取默认存放项目(projects)下的源代码
利用HTTP进行上传上述搜集到的用户文件到http://192.157.208.72/checkout/
服务器截图信息如下:
...全文
请发表友善的回复…
发表回复
proteinboy 2013-09-06
- 打赏
- 举报
dota中的牛人不好哦
qiouqfz 2013-09-05
- 打赏
- 举报
这种行为时犯罪啊,用户该起诉了
SKATE11 2013-09-03
- 打赏
- 举报
你知道的太多了
要吃苍蝇自己抓 2013-09-03
- 打赏
- 举报
围观一下,看楼下怎么说
偏爱风流 2013-09-03
- 打赏
- 举报
今年开始一直都是裸奔的。不装垃圾360
bd_xuelang 2013-09-03
- 打赏
- 举报
你脑子想一想,有了这些代码,360可以评估其他单位的产品或市场趋势,吸取有利的部分,就能知己知彼,你说怎么没用,只是手段比较低劣[/quote]
但是这个东西得有证据,有证据就很可怕,没证据就是诬告。。[/quote]
截图代码就是证据啊。
搜索vs工程所在目录,搜索.cpp文件。这真不是一个正常文件能干出来的事
异常异长 2013-09-03
- 打赏
- 举报
dota 高手。
副组长 2013-09-03
- 打赏
- 举报
很必要。
自从3721那个年代就知道它不是什么好饼!
bd_xuelang 2013-09-03
- 打赏
- 举报
明显人家是内网测试用的IP……[/quote]
??测试版的程序被lz用到了?? lz是怎么连到 192.157.208.72 的呢??
谁来讲解下??[/quote]
sorry ,我看错了,这个不属于私有ip段,我想多了。[/quote]
那为啥俺 连不到 192.157.208.72 呢 ??已经关闭了??ping 也不同了[/quote]
卡饭先爆出来的,爆出来之后,服务器就被关闭了,然后这玩意发了新版
CCDDzclxy 2013-09-03
- 打赏
- 举报
明显人家是内网测试用的IP……[/quote]
??测试版的程序被lz用到了?? lz是怎么连到 192.157.208.72 的呢??
谁来讲解下??[/quote]
sorry ,我看错了,这个不属于私有ip段,我想多了。[/quote]
那为啥俺 连不到 192.157.208.72 呢 ??已经关闭了??ping 也不同了
放纵的青春 2013-09-03
- 打赏
- 举报
不觉明历
以后专门搞一台开发的电脑吧
以后专门搞一台开发的电脑吧
挨踢民工的乐章 2013-09-03
- 打赏
- 举报
明显人家是内网测试用的IP……[/quote]
??测试版的程序被lz用到了?? lz是怎么连到 192.157.208.72 的呢??
谁来讲解下??[/quote]
sorry ,我看错了,这个不属于私有ip段,我想多了。
挨踢民工的乐章 2013-09-03
- 打赏
- 举报
明显人家是内网测试用的IP……[/quote]
??测试版的程序被lz用到了?? lz是怎么连到 192.157.208.72 的呢??
谁来讲解下??[/quote]
逆向工程。
CCDDzclxy 2013-09-03
- 打赏
- 举报
明显人家是内网测试用的IP……[/quote]
??测试版的程序被lz用到了?? lz是怎么连到 192.157.208.72 的呢??
谁来讲解下??
yaoyaochecknow 2013-09-03
- 打赏
- 举报
楼主不是自己改了他们的bin吧!?给个csdn的链接 我们能下bin的吧。
___________小P 2013-09-03
- 打赏
- 举报
这TM的 不是违法么?
xiaohuanjie 2013-09-03
- 打赏
- 举报
blackkettle 2013-09-03
- 打赏
- 举报
厉害。楼主能详细讲讲整个过程么
我是逗比请来的猴子 2013-09-03
- 打赏
- 举报
360是什么啊 
WizardOz 2013-09-03
- 打赏
- 举报
从来不用360的东西
加载更多回复(33)
