网吧三国

标题: 626 QQ盗号文件分析（wegame文件下被劫持） [打印本页]

---

作者: 安全球    时间: 2022-6-27 15:03
标题: 626 QQ盗号文件分析（wegame文件下被劫持）

近日，有电竞酒店维护人员通过安全球检测发现了这个多余的文件，将文件提出给安全球团队分析之后得出异常文件2个，网址1个。

通过域名解析发现txc.gtimg.com 有多达十几个IP  。但是这个域名是腾讯自己的，应该是正常的。

异常文件

twain_66.dll

fszwd.dat（这个异常文件替换了腾讯自己的正常fszwd.dat）

下面是分析记录：

(, 下载次数: 20)

上传

点击文件名下载附件

(, 下载次数: 21)

上传

点击文件名下载附件

(, 下载次数: 21)

上传

点击文件名下载附件

(, 下载次数: 22)

上传

点击文件名下载附件

该图针对a-z的记录截图不全，后面有看到更全的，但是并没有截全而已

(, 下载次数: 21)

上传

点击文件名下载附件

上下两张图应该是这个执行文件生成的两个文件，大家可以通过搜索工具将其找出

(, 下载次数: 25)

上传

点击文件名下载附件

(, 下载次数: 21)

上传

点击文件名下载附件

(, 下载次数: 16)

上传

点击文件名下载附件

在检测窗口了，一直检测不到，网络不通，后面有报错

(, 下载次数: 20)

上传

点击文件名下载附件

(, 下载次数: 20)

上传

点击文件名下载附件

在监测wegame窗口

(, 下载次数: 23)

上传

点击文件名下载附件

(, 下载次数: 19)

上传

点击文件名下载附件

方便为上传时做一个记录，什么时候上传的，好方便日后使用

(, 下载次数: 26)

上传

点击文件名下载附件

(, 下载次数: 24)

上传

点击文件名下载附件

至此，该程序已全部分析完，大家可以各显神通，将文件屏蔽了

---

欢迎光临 网吧三国 (http://www.583go.com/)

Powered by Discuz! X3.4