如果你（nǐ）是一个英雄联盟（méng）玩家，在（zài）游戏结束对（duì）局结算（suàn）界面（miàn）肯（kěn）定看到（dào）过各种**广告，甚至（zhì）一度认为和你对局游戏的是（shì）人工智（zhì）能。要知道，英（yīng）雄联盟这款游戏虽然已经过了巅峰期，但依旧（jiù）是（shì）最受欢迎的端游，非高峰（fēng）期的同时在线人数也有上百万人，那么这种针对（duì）英雄联盟（méng）的非法广告实际情况是（shì）怎（zěn）样的？其原理是什么呢（ne）？

据（jù）网（wǎng）狐了（le）解，这是一种针（zhēn）对在线棋牌游（yóu）戏进行盗号，并且同时能够在英雄联盟客户端内群发**广告，从而进（jìn）行引流的木马。木马（mǎ）作者通过调（diào）用（yòng）英雄联盟客（kè）户（hù）端本地消（xiāo）息发送的API，当一局游戏结束显示战绩时，就会发送**群的广告或者链接，为了避免消息被过滤拦截（jié），还（hái）会采用（yòng）同（tóng）音字替换的方式绕过过滤拦截。

而据（jù）欧陆娱乐（hú）了解，大部（bù）分发送此（cǐ）类信（xìn）息的玩家，都处于网吧环境。在分析期间（jiān），该（gāi）病毒的插件的功能也是（shì）每天更新，单个变种感染量（liàng）达3W+。

技术分析（xī）

先大致说说该病毒的主（zhǔ）要运行（háng）流程：

此（cǐ）类病毒运行后，首先会复制自身到system32下（xià）一个随机命名的文件（jiàn）夹里，然后（hòu）重命名伪装自身为系统文件，会被伪装的文件名列表如下：

接着，从服务器下载（zǎi）一个加密图片文件，当（dāng）然（rán），这不是病毒本体。经过多（duō）重解（jiě）密（mì）后（hòu），我们发现其为一（yī）个DLL 文件，该DLL文（wén）件的（de）主要功能（néng）是去下（xià）载另外2个（gè）木马文件：英雄联（lián）盟广告木马和棋牌游戏盗号（hào）木马：

木马一：英雄（xióng）联盟广告木马（mǎ）

为（wéi）防止安全分析人员溯源、追（zhuī）查到（dào）其真实（shí）身份，病（bìng）毒（dú）作者提（tí）前将该木马上传到了公共图片服务器（qì）中，如：新浪、百度、网易等

上传放置图片（piàn）所用的服务器

下载得到的文件，同样是（shì）伪装（zhuāng）加（jiā）密的图片文件，解密后，依旧是一个DLL文件，而这个DLL就是最终的木马文件。这个DLL文件中（zhōng）包（bāo）含了两（liǎng）个额外的PE文件：CURL库文（wén）件和一个用（yòng）于注入（rù）LeagueClient.exe进程的文件。该DLL文件加载运行后（hòu），首先会（huì）创（chuàng）建（jiàn）3个线程：

① 线程（chéng）一

数据（jù）上报至统计服务（wù）器：http://api.hjhmc.com/c.php?md5=/AbW5ekasENZnoFYhA86kLY2HNZ5A2XRowvOg/qYVq6hDUJgQHR/UQ==，该网站后台为宝（bǎo）塔面板：

② 线程二（èr）

针对英雄联盟客户端进行注入操作（zuò），将自身释放（fàng）出的一个PE文件，注入进LeagueClient.exe，主要为获取auth-token值和（hé）app-port值（zhí），然后将获取得到的（de）值存放在C:\ a.dat中，为后续构建发送消息的链接所（suǒ）用：

③ 线程三（sān）

根据（jù）获得的auth-token值和app-port值，构建相应的消息发送（sòng）链接，然后发送相（xiàng）应的广告信息（xī），完成**广告的发送：

不过（guò）由于相关服务链接的（de）失效(http://43.224.29.58/msg/2.txt)，暂未能获取（qǔ）相（xiàng）应的广（guǎng）告信息配置数（shù）据，但（dàn）根（gēn）据该木马（mǎ）内置的（de）一个关键词替（tì）换字典信息以及网上（shàng）的相关反馈来看，猜测为同一类型的木马（mǎ），发送的是（shì）**类型广告：

除了在英雄（xióng）联盟客户端内发送**广告外，病毒（dú）还会利用QQ的快速登录，盗取ClientKey值，然后（hòu）在（zài）空间的说（shuō）说中，加（jiā）入定（dìng）时说说，定时发送广（guǎng）告：

木马二：棋牌游戏盗号木马

这个就简单（dān）说一（yī）下，因为（wéi）主要针对该棋牌（pái）游（yóu）戏盗号木马插（chā）件主（zhǔ）要（yào）针对（duì）以下4款游戏：

木马通过检测（cè）以上（shàng）4款游戏窗口（kǒu）找到（dào）游戏主（zhǔ）进程，然后（hòu）通过远程线程注入盗号DLL模块，挂钩指（zhǐ）定函数（shù），在用户进出（chū）游戏房间、存取游（yóu）戏（xì）币、修改帐号密（mì）码等操作时拿到账（zhàng）户信息（xī）并上传。

盗（dào）号DLL模块在（zài）游戏进程加载（zǎi）后（hòu），会挂钩游戏（xì）相关的（de）功能函（hán）数，拦截游戏内部消息。在用户进行登录、进（jìn）入房间（jiān）、存取钱、绑定解绑、修改（gǎi）密码等操作时，获取用户账户密码、银（yín）行密码、游（yóu）戏（xì）币（bì）等数据，并加密上传至（zhì）服（fú）务（wù）器。

其中（zhōng）针对登录游（yóu）戏、进入房间、修改密码这（zhè）3类（lèi）操作会获取（qǔ）并上报（bào）用户的机器码（mǎ）Pr_MAC用于远程（chéng）解绑洗号，当账号异地（dì）登录时会替（tì）换本地（dì）的提示（shì）消息，防止用户（hù）发现账号被盗（和上面英（yīng）雄联盟（méng）的非法（fǎ）广告一样，玩家自己是看（kàn）不到自己（jǐ）发送的**广告的（de）。）：

 那么，这种盗号方式有（yǒu）用吗？答（dá）案是肯（kěn）定的（de），以下是病毒作者服务（wù）器上收（shōu）集到的账号信息（xī）：

以（yǐ）上就是英（yīng）雄联盟非法**广告和棋牌（pái）盗号（hào）木马程序的所有运行原理。欧陆娱乐坚决反对（duì）任（rèn）何（hé）非法**广（guǎng）告，对（duì）正（zhèng）规棋牌游戏的盗号产业也深恶痛绝。网（wǎng）狐（hú）坚信只有绿色、健（jiàn）康的棋牌（pái）游戏才是行业的未来。欧陆娱乐科技致力于棋牌游（yóu）戏开发（fā）15年，拥有（yǒu）大量棋牌游戏成功案例。

   想开发一款迅（xùn）速（sù）盈利（lì）的棋牌游戏（xì），欢迎咨询热线电话：400-000-7043

扫码二维码咨询（xún）更多（duō）棋（qí）牌（pái）游戏问题

本文版权归（guī）欧陆娱乐（hú）所有（yǒu），如若转载请注（zhù）明出处