图8. 下载抓包
此外,该木马同时还会将中毒机器的相关信息上报给服务端用以统计。
2. Steam盗号器
盗号器启动后会结束正在运行的"Steam"客户端,之后通过枚举磁盘文件方式找到Steam客户端安装路径
图9. 结束Steam进程
图10. 释放盗号模块
找到Steam客户端安装路径后,会向路径内释放名为IPHLPAPI.dll的库文件用作DLL劫持,这样Steam客户端在下次启动时会加载该DLL文件。
图11. 盗号模块注入Steam进程
该DLL一旦被加载,便会通过hook方式挂钩SteamUI.dll模块的4处位置:分别为"UserNameEdit"、"密码"、"RememberThisComputer"、"Steam_GetTwoFactorCode_EnterCode",如下:
