刚才和朋友打了两局DOTA2,打的时候觉得很卡,尼玛家里电信独享8M,ping值超高,掉线三次后我就退出游戏了,一检查发现电脑里的游久超级助手在上传信息,自己写了个HIPS查看,发现是在扫描我硬盘上的源码,并上传。尼玛这年头下个游戏插件都不能放心使用了?
下面是我的详细分析报告:
1.游久网是奇虎360旗下公司的网站
2.该网站官方提供的 DOTA2游久超级助手 存在偷偷搜索用户的源码并上传到指定服务器的行为。
3. 基于源代码的保密性和重要性,其性质和直接偷窃用户资金没啥区别。
背景
行为分析
因环境不完整(需外服dota2),同是该样本为加了VMP的易语言程序,故暂时只能给一个初步的行为分析。
修改dota2游戏目录中的steam_api.dll 以加载器自己的两个dll( steamlib.dll,steamlibex.dll)
匹配指定关键词收集(lst,.list,.log,.e,.ec,.rc,.asp,.php,.htm,.html,.js,.css,.c,.vcproj,.vcxproj,.user,.filters,.cpp,.h,.lib,.suo,.sln,.cs,.resx,.settings,.csproj,.exe,.dll,.ini,.xml,.cfg,.txt,.doc,.rar,.zip,.7z)
查找如下注册表HKEY_CURRENT_USER\Software\Microsoft\VisualStudio 这个路径下的所有VS开发环境的路径,获取默认存放项目(projects)下的源代码
利用HTTP进行上传上述搜集到的用户文件到http://192.157.208.72/checkout/
服务器截图信息如下: