垃圾吃鸡插件绑马分析

前言：我本人是并不反对游戏外挂的，赚钱的路很多条，很显然这也是一条（个人观点）但是做生意就是要诚信，连做个外挂你都不诚信，你在做NM? 其实我本来不想发这个帖子的，我做过的病毒分析也不多，算是个弟中弟，经常水一下看雪 之类的各大论坛看看病毒分析，

这一次算是非常气愤吧，因为首先这个作者很嚣张，其次就是绑马不承认，文章的开头我会把这个傻*的服务器 QQ 放在那里，有兴趣做渗透的朋友可以试试拿下他(php的站点)那么废话不多说就直接开始正题吧。（十六岁学生党 都是自学 如有不对的地方欢迎大佬指出来 我会虚心学习 另外 有什么好的书推荐一下吧 感谢：））

文件名称 :xb.exe

文件大小 :856064 byte

文件类型 :application/x-dosexec

MD5:fe62899995f4e887c84b319f007012cf

SHA1:2d241dd23b6a2691ad130506012b33265b4e8047

外挂作者QQ：1176409432

外挂作者QQ（大概小号）：179975356

外挂QQ群：697543134

外挂作者服务器：119.28.3.136

外挂作者收信地址：http://119.28.3.136/cs.php

附件大小问题，外链链接下载样本：  样本

0x00  

本来想给各位找一下某论坛的截图的 但是好像作者已经把帖子给删掉了 那我们直接看文件吧

0x01

文件下载来是一个rar的文件 自己改一下名字 加个压缩包的扩展名ZIP RAR都行 然后解压出来

写注册表 开机自启动

获取KEY

检测是否存在杀软

前面都是小菜 下面才是重点

0x02

目标会在C:\Windows\SysWOW64\创建一个名为XB.exe的一个文件

之前目标还有很多获取磁盘信息 CPU MAC 之类的 我都不放截图了（附件会有样本 有兴趣的自己可以看看）重点就我们看看这个xb到底是个什么东西 什么来头？

0x03

我已经把这个文件拿出来了具体就看看这是个什么东西

What is this?????

What is this?????

What is this?????

算是求了你了 下次能否加密一下字符串？？？？？？？？

这就是你没绑马？你在装什么？小老弟 还用了GetAsyncKeyState来记录键盘  
你这说你没绑马 免费给大家用 造福人类？ 你这跟说我自己没有开挂有什么区别？
行了行了 多的不扯了 发了很多没用的图 样本在附件 各位大佬们自行下载
（我只是个弟弟）

这个还有键盘记录啊什么的 具体分析 看分析日志吧 在附件。
交流群：773416122
文档作者CatGames
2018/12/17 18:30

Welcome to :CatGamesHome