概述：

很多人喜欢将QQ空间的空间相册功能当做照片网盘，把一些自己或是珍贵、或是敏感的照片保存在QQ空间的相册中，并设置访问权限阻止其它人访问，从而达到拥有一个私人相册的目的。但如果有人想破解这个访问权限，是否困难呢？

要回答这个问题，就需要知道QQ快捷登录的原理，简单讲就是如果黑客获取了你QQ的一个叫ClientKey的东西，那么他就能直接进入你的QQ空间查看加密相册，而ClientKey的获取，对于黑客而言并不复杂。

以我们发现的一个盗取ClientKey的木马为例，近期毒霸 工作人员接到用户反馈，电脑反复出现盗号木马的提示，跟进后发现都是由同一类游戏修改器反复释放而来，该木马盗取QQ的ClientKey之后，利用QQ的第三方登录功能，登录第三方网站进行暗刷、论坛刷帖等功能。

通过对后台上报信息进行梳理后，我们发现该木马来自一些古老的游戏修改器、绿色软件等小工具类产品，从代码风格和域名来看，均为同一人使用VB所编写。由于VB语言的编译特性，程序具有较好的免杀效果，截止目前，VT上只有一款杀软能够检出该木马：

分析：

病毒从被作者发布到执行，大体流程如下：

由于部分玩家想使游戏增加额外的“乐趣”，喜欢去网上搜索游戏修改器，而病毒作者也瞄准了这类需求，针对性的将游戏修改器和病毒打包在了一起，并上传至各大下载站，目前发现的主流下载站主要有以下三个：

这类下载站由于SEO优化较好，在搜索引擎结果中排名靠前，因此也会获得较多的展示下载机会，尽管杀软会对下载的文件报毒，但用户在此类刚需的情况下，更喜欢主动忽视、甚至是关闭掉杀毒软件，病毒也因此获得最终的执行机会。

当用户下载到被二次打包的软件，双击打开后，该安装包会释放出一个下载器模块setup.exe到temp目录：

该文件会二次下载一个包含有WPS升级程序的白文件，由于该升级程序是通过命令行传入参数来获取下载地址，但却没有对下载链接做任何限制，而该升级程序本身是正常文件，部分杀软也会直接放行，故被病毒利用来下载执行指定文件。在访问远程地址获得后续需要的配置文件后，发现目前主要下发一些推广软件和盗号木马，配置文件被加密保存在作者的服务器上：

配置解密代码如下：

其中盗号木马下载地址为hxxp://tyl123.cn/tmp/0003.exe，该文件中内嵌多个PE文件模块：

0003.exe运行后，会等待5分钟再执行后续操作，猜测是为了躲避在线沙箱的检测，等待期结束后，会释放除盗号模块外的所有文件到AppData目录下，然后根据远端服务器hxxp://www.mysvipxrtx.com/api/busins返回的指令信息，决定是否执行后续的盗号流程，若有返回信息，则执行后续操作，否则每间隔5分钟重复请求一次返回信息。

开始执行盗号流程后，病毒会释放QQProtece32.dll文件至AppData目录下，采用远程线程注入的方式，将上述模块注入到qq.exe进程中：

盗号木马注入的手法众多，除了使用CreateRemoteThread在目标进程加载执行，我们还发现另外一类针对QQ盗号的木马稍显特别，这类木马使用了CallWindowProc在QQ进程内执行ShellCode，再利用网易loft博客作为其命令下发的CC地址hxxps://sudu198714.lofter.com/post/31c74d82_1c8ac4c96，为了防止域名失效，其备用域名使用了百度对象存储服务hxxps://uadate.fwh.bcebos.com/mini.txt：

QQProtece32.dll在被注入QQ的进程后，会最终释放出盗取ClientKey的QClient32.dll文件到QQ的目录下，然后加载执行这个最终的盗号模块。该模块通过调用KernelUtil.dll 中的 ?GetSelfUin@Contact@Util@@YAKXZ获取登录的QQ号，然后再通过?GetSignature@Misc@Util@@YA?AVCTXStringW@@PBD@Z计算得到对应的ClientKey，最终完成ClientKey的盗取。

盗取来的ClientKey主要用于刷直播关注量、QQ部落留言、空间关注等，目前主要刷的是网易CC直播的一位主播：

 其它：

在对样本的相关木马下载地址进行关联溯源时，发现该域名的备案号下，还有其它几个域名： 部分域名更是早在2016年就曾进行过流量暗刷、主页劫持等行为：         其中一个域名，疑为作者的个人主页，页面上附带有不少作者的个人简介说明信息： 

页面上不仅有大量的小工具类软件的下载链接，还留有软件作者的联系方式： 

        利用搜索引擎搜索作者的名字，也能搜到不少的新闻，可见作者从事相关的开发工作也已多年：

建议：

• 在游戏时，避免使用外挂、修改器等第三方工具，必要时，可使用沙箱、虚拟机等软件运行这类工具
• 当杀毒软件报毒时，切勿轻易点击放行，若怀疑误报，可向杀软工作人员核实后再运行
• 若怀疑中毒，可使用金山毒霸进行扫描检查

IOCs

MD5：

a177249fd572d8ba34a6faf4b7e714b6

bcb949631168dead2113582cf8a7049e

55edb115eb9ece17921eebcfcfb853bc

fafb3f625ea456a12dee8de0ece869db

216ec0b28a38582c08cb3b1be1f7ba97

B8064AF23273DE431AE290C3C739479B

d5ac0d990f148fd7326672bedc26aef2

ecb0766f160e95ba07884d30012ceb40

URL：

hxxp://tyl123[.]cn/tmp/0003.exe

hxxp://tyl123[.]cn/tmp/wpbyf.exe

hxxp://www.lovehy[.]com

hxxp://yunlongservice[.]cn

hxxp://msnunion[.]com

hxxp://mysvipxrtx[.]com