近日，陕西、贵州、江苏、重庆等地网吧出现steam盗号事件，我们在网吧环境捕获了该盗号样本。

样本作者的水平似乎不高，整个样本是由易语言编写的，通过一个exe进行远程线程注入，注入一个payload dll到steam进程，dll再hook SteamUI.dll中TextEntry控件相关的函数。

盗号哥的朋友还把一些疑似源码的东西发到了某论坛上，这里留个pdf备份（已放附件123.pdf）。（需要的朋友可以点击下方“阅读原文”获取附件）

源码截图：

pchunter可以很轻松找到钩子：

钩子里面跳转到样本SteamDll.dll：

懒得看他怎么拿到密码的，反正从钩子位置看是从steamui的TextEntry控件的某个函数里取的。

盗号哥居然使用了明文FTP的方式上传盗来的账号：

登上去看了下，这FTP还兼职当网页：

里面全是账号密码：

从盗号的payload dll中可以直接找到盗号者的QQ：

比较搞笑的是盗号哥居然把网页账号密码直接写到php文件里了。

登进他的网站看一看：

截至发帖时盗号哥已经收集了2000个账号，按98一个号算，他已经盗了价值20W的号了。

盗号哥服务器上的东西我已经帮他全部清了，他的ftp是119.188.248.121 账号qq9420986，密码是4316c992a3，有兴趣的可以上去玩玩（这个从steamdll.dll样本里可以直接提取）。

在网吧登录自己的steam号是非常不安全的。虽然该样本是从控件里拿的账号密码，可以通过call steamclient!SendClientLogon来绕过控件盗号，但是在steam登录协议基本等同于明文的情况下， 依然不能保证不被别的方式（比如给steamclient下钩子，甚至截取UDP登录包并解密）盗号。    

本文由看雪论坛 hzqst 原创

转载请注明来自看雪社区

热门技术文章推荐：