cf游戏贩子：从CF活动助手到Steam盗号扒手

cf游戏贩子：从CF活动助手到Steam盗号扒手此外，该木马同时还会将中毒机器的相关信息上报给服务端用以统计。图8. 下载抓包其中下载文件名为"QMBroswer.exe"和"QMBrowser.exe"的文件，在前期分别下发过"QQ空间广告刷手"病毒以及"Steam盗号器"。而中间的"server.exe"文件，则是一个下载者木马。1. 下载者木马该木马启动后，会主动向远端地址发起下载请求，下载多个程序到本地执行。虽然在URL链接中，这些文件均已.txt结尾，但实际上大多均为可执行程序，其中也包含驱动程序（SYS）和动态链接库程序（DLL）等，具体功能也可能由于服务器控制者的修改而损失变化。

图5. 程序官网的加密云控信息

通过解密其云控配置后，可以发现除去程序相关的配置信息后，还包括对安全软件的检测，同时具有下载并执行远端程序的功能。

图6.安全软件进程名配置字段

图7. 远端下载程序配置字段

其中下载文件名为"QMBroswer.exe"和"QMBrowser.exe"的文件，在前期分别下发过"QQ空间广告刷手"病毒以及"Steam盗号器"。而中间的"server.exe"文件，则是一个下载者木马。

1. 下载者木马

该木马启动后，会主动向远端地址发起下载请求，下载多个程序到本地执行。虽然在URL链接中，这些文件均已.txt结尾，但实际上大多均为可执行程序，其中也包含驱动程序（SYS）和动态链接库程序（DLL）等，具体功能也可能由于服务器控制者的修改而损失变化。

图8. 下载抓包

此外，该木马同时还会将中毒机器的相关信息上报给服务端用以统计。

2. Steam盗号器

盗号器启动后会结束正在运行的"Steam"客户端，之后通过枚举磁盘文件方式找到Steam客户端安装路径

图9. 结束Steam进程