DNF盗号木马之突破令牌密保

木马运行后自我复制，删除自身

启动双进程互相保护

循环查找"地下城与勇士"窗口

发现DNFCHINA.EXE进程及窗口为类ThunderRT6FormDC，窗口标题"地下城与勇士"判断游戏是否运行，如果发现则结束DNFCHINA.EXE进程

并根据游戏目录下的\start\ui\res的资源创建一个虚假的窗口，窗口标题为"地下城与勇士 "，注意勇士后面多了个空格，是木马作者区分真假窗口的标志，并提示”安全检查完成“，诱使用户输入帐号，密码，并诱使用户自己解绑令牌, 其中有个URL发送正确的参数，就可以解绑了，图1 是该URL所在的页面

https://aq.qq.com/cn2/manage/qqtoken/unbind_qqtoken?

 

                图1 解绑令牌URL

 

 

 

图2 解绑QQ令牌代码相关

样本来源：hxxp://222.186.55.211:8080/SQL.exe

MD5：b1434021d4ca2dd2b0a0f6a5356e7e6f