0x00 概況

---

集結號遊戲中心是一款擁有較高人氣的棋牌遊戲平臺，包含百餘款潮流性競技休閒遊戲，如鬥地主、三國賽馬、港式五張、對殺牛牛、捕魚達人等。360網際網路安全中心近期捕獲到大量偽裝該遊戲平臺的虛假安裝包，這些安裝包內預置了木馬病毒，並採用多種技術手段對抗防毒軟體的檢測查殺，本文將對其推廣渠道、對抗手段以及木馬行為進行全盤分析。

0x01 推廣渠道

---

偽裝“集結號遊戲中心”的木馬傳播方式可以總結出以下三個特點：

1. 針對國內主流搜尋引擎，採取競價排名推廣，使得帶有木馬的虛假遊戲中心網頁在搜尋結果中排在前面，容易被遊戲玩家搜尋下載到；
2. 木馬作者高度模仿官方網站，普通網友完全無法辨別真假網站；
3. 從木馬樣本分析來看，木馬作者具有比較豐富的殺軟對抗經驗，應該是黑產“老手”；

分析過程中，測試人員發現不光“集結號遊戲中心”搜尋結果的第一頁有多個木馬連結，甚至搜“集吉號遊戲中心”等相似關鍵詞也會中招。點選連結進入頁面，會發現虛假頁面與官方網站（www.jjhgame.com）幾乎一樣，某些域名與官網也高度相似，如www.jjhgwame.com、www.jjhgtame.com、 www.jjgqne.com等。可以看出，木馬為了推廣下了不少本錢。如下圖1所示：

點選上圖中第二項搜尋結果www.jjhgqne.com，頁面被重定向至jjhgames.jjhgqne.com:81，見下圖2，重定向頁面是一個釣魚頁面，和官網風格完全一樣（見圖3），但其頁面上的連結都指向自身（href=’#’），僅網咖版、精簡版按扭指向待下載的重打包木馬安裝包

與此同時，在集結號遊戲官方網站發現，遊戲官方也提示近期在百度搜尋中出現大量虛假頁面，建議使用者認清官網地址http://www.jjhgame.com防止上當受騙。如下圖3所示：

測試發現，木馬作者註冊的釣魚頁面內容幾乎一樣，而重新打包的安裝包裡木馬混白技術也相似，推測所有釣魚頁面出自同一作者之手。作者註冊大量與官網jjhgame相似的域名，並偽造相同的頁面，用以傳播推廣木馬。

0x02 混淆對抗

---

接下來，我們下載官方安裝包及多個木馬安裝包進行對比分析，透過分析發現木馬作者在不同安裝包中使用多種手法進行對抗，試圖躲避防毒軟體的查殺，總結主要包括下面4種對抗手段：

1 劫持原安裝包中Download.dll，將原Download.dll修改為game.dll名，在惡意Download.dll中重新載入game.dll；如下圖7所示：

從檔案日期可以看出，Download.dll是2015年7月27號生成，說明該木馬作者依舊很活躍。木馬檔案Download.dll匯出了與game.dll中相同的函式CreateDownloadService，該DLL函式會在GamePlaza.exe被載入呼叫；圖8展示了Download.dll劫持手法：

圖8-Download劫持手法

2 使用StudyPE新增新的匯入表項Gamejjh.dll，透過該方式StudyPE會在PE結構中新增.newimp節，將需要的DLL及其函式字串寫入其中，並在IAT表中新增相應的匯入表項。 原GamePlaza.exe並未匯入Gamejjh.dll。如下圖9、圖10所示是被修改後的GamePlaza.exe主程式：

圖9-匯入目錄

圖10-新增節資訊

3 修改ComService.dll，Inline Hook DllEntryPoint函式，函式入口強制JMP到TEXT節最後，在該處進行DLL(虛假msvcrt8.dll) 載入。

下圖11展示了木馬強制跳轉至其惡意程式碼的截圖：

圖11-載入惡意程式碼

4 透過細微修改原版GameUpdate.exe，AutoUpdate.exe， login.ini檔案，Patch原版遊戲中心的升級路徑，對抗查殺。原官方版本的login.ini檔案內容如下圖12：

圖12-官方配置檔案（ login.ini）

重打包後木馬安裝包裡的login.ini檔案如下圖13：

圖13-病毒配置檔案（ login.ini）

透過分析發現欄位UpdateIp在原版的GameUpdate、AutoUpdate程式裡都會使用，木馬作者一方面修改GameUpdate裡對UpdateIp的引用為UphostIp，使其能正常工作，另一方面Nop掉AutoUpdate裡的MessageBox函式，使其靜默下載update.iiibbbvv.com:81的木馬安裝包升級。

除上述4種手段外，測試還發現大量其他手段，其方式和上述差不多，如修改zip.dll檔案IAT表，注入d3dx9_53.dll；劫持NetWorkService.dll等。

0x03 木馬分析

---

1 Download.dll盜號木馬

該木馬透過劫持集結號遊戲中心的正常Download.dll程式啟動，原檔案284KB，病毒程式309KB。該DLL啟動起來後載入common.dll檔案，並呼叫其ifconfig函式，接著從GamePlaza.exe和PropertyModule.dll中搜尋特殊位元組串，並hook帳號密碼處理函式等。程式程式碼如下圖14所示：

圖14-盜號木馬

下文依次截圖展示hook帳號輸入的過程：

1）木馬從地址空間0x401000開始搜尋特徵串0FB6D085D27422C7，定位到相應地址並儲存；見下圖15所示：

圖15-搜尋特徵串

2）Hook相應前一步搜尋到的地址的程式碼，在獲取輸入帳號後呼叫木馬自身函式get_account，該函式內部將帳號傳送至木馬作者伺服器；如圖16所示。

圖16-hook函式

搜尋對應的位元組串，在GamePlaza.exe中找到相應位置如下圖，可以看出這裡是GamePlaza帳號登陸處理函式：如圖17所示。

圖17-登陸函式

2 Common.dll後門

在盜號Download.dll中載入本DLL，呼叫其ifconfig函式；該程式是一個Gh0st改寫的後門程式，從雲端獲取配置資訊、監聽本地埠、註冊服務、新增自啟動、檢測防毒軟體等；

圖18-Gh0st後門

0x04 其他資訊

---

據分析，這些虛假的遊戲中心釣魚網站均使用虛假的個人資訊進行域名註冊，變化頻繁，沒有實際意義。調查發現，病毒木馬的黑產團伙除了針對集結號遊戲平臺發起攻擊外，還會對市面各類遊戲中心使用類似的手法進行攻擊，如辰龍游戲中心、906遊戲中心等。此外，團伙還會開發各種外掛、工具，如鳳凰遊戲、劍俠情緣等遊戲外掛，由此可以推測，該團伙研發的各種盜號、遠控木馬還可能透過其研發的外掛進行傳播。

如圖19所示，我們再次在百度中搜尋辰龍游戲中心，第一項是官方網址，而之後連續三個全是釣魚頁面。

從搜尋第一項和第二項可以明顯看出，木馬作者依舊採用老方法註冊相似的域名（官網cl059.com，釣魚網址cl0579.zj、cl0559.aliapp）欺騙使用者，偽造頁面與官網完全一樣。

圖19-辰龍游戲中心搜尋結果

0x05 防範措施

---

線上棋牌這類休閒遊戲，儘管遊戲官方可能不允許現金交易，但是透過第三方交易手段，現實中的貨幣和遊戲中貨幣是可以互相兌換的。這類遊戲都含有賭博成分在裡面，甚至有的本身就是賭博，容易讓玩家沉迷其中，不能自拔，所以很多木馬團伙就打這上面的主意。

木馬作者大量購買域名，與官方棋牌遊戲相似度極高，又透過搜尋競價排名推廣，對普通玩家來說極具迷惑性。在此我們建議遊戲玩家：不要輕信搜尋結果！認準官網域名再訪問，不要從第三方網站下載安裝包。同時電腦注意開啟安全軟體，遇到危險警報時要按提示清除木馬，否則不僅會損害遊戲賬號安全，電腦還可能被不法分子完全控制，有可能造成更嚴重的後果。