020年6月，警方破获一起大规模网吧非法植马案件，该案件主要为通过上机植马的方式，向多家网吧服务器植入“STUpdater.exe”木马，并对网吧服务器及主机进行远程控制，从而盗取大量游戏账号；在进一步确认后发现，广州、合肥、成都等多地网吧也接连出现类似情形，对网络安全造成巨大危害，严重扰乱了社会秩序。

360安全大脑在接到警方协助侦查需求后，结合安全大数据分析研判，成功掌握了该攻击木马的入侵原理、最终目的以及控制服务器地址等重要信息，并通过追踪溯源，最终发现散布木马的作案元凶。

目前，在多地警方的统一部署与通力配合下，作案人员已被绳之以法，关于案件的后续侦办正在有序推进中。

犯罪团伙周转多地散布病毒

汉中、咸阳、西安等网吧频现木马危机

警方在接到报案后，前往多家事发网吧对服务器进行勘验；在调取近期监控视频和上机记录的过程中，发现木马植入几分钟前，存在可疑人员使用虚假身份证开机操作，并在几分钟后结账下机。

根据该虚拟身份进行轨迹核查得知，犯罪嫌疑人5月23日由四川简阳出发，乘坐动车、飞机途经汉中、咸阳、西安等地，并在沿途网吧皆完成植马操作。

360安全大脑在整合警方提供信息后发现，不法分子主要通过线上招募的方式，安排大量人员前往不同地区的网吧门店，使用客户机来攻击网吧服务器，且通常只上机5分钟左右就离开，行踪十分隐蔽。

同时，为了拓展犯罪行径，作案人员在进行线上招募时，主要通过在社交软件上发布一些诱人的“小广告”，来吸引一些想赚外快的代理人员，帮助他们完成网吧攻击木马的投放。

因此，存在多个作案帮手同样按照一定路线到沿途网吧，使用远程控制软件进行植马，广州、合肥、成都等多地网吧皆沦为攻击目标。

360安全大脑在进一步的分析研判后发现，作案团伙如此大动干戈的种植木马，并非企图利用网吧电脑进行非法挖矿，而仅是为了盗取网吧玩家的游戏账户。目前，警方已抓获作案团伙管理人员，并发现涉案人员20余人，在多省市网吧非法植马。

吸睛福利诱导用户下载使用

“网游加速器”成盗号木马藏身之所

在对该木马攻击进行追踪溯源后，根据已成功掌握的入侵原理、最终目的以及控制服务器地址等重要信息，360安全大脑分析出了该作案团伙的整体运行流程。其中，作案团伙利用多样的攻击方法，对“易乐游”、“网维大师”和“云更新”3种主流网吧管理平台实施入侵，从而完成了大规模的网吧植马。

通过360安全大脑关联“STUpdater.exe”木马相关的攻击链，快速定位到了网吧攻击木马的传播载体是一款经过修改的“熊猫加速器”。有意思的是，该软件安装完成后，会通过“网吧安装激活送奖励”等福利提示，将自己包装成看似正常推广的“合法”软件，来吸引用户使用。

而实际上，安装目录里会添加一个捆绑的木马模块“wke.dll”，该模块利用DLL侧加载技术在熊猫加速器主程序启动时自动运行。运行后首先会检测网吧环境和资质，验证通过后就联网下载攻击网吧服务器的工具，联网时会附带传播载体的渠道号（内置于每个传播软件中，本例为“1986”）方便区分和控制。

攻击工具主要针对3种主流的网吧管理平台，分别是“易乐游”、“网维大师”和“云更新”。针对每种平台使用的攻击方法各有差异，且部分平台甚至存在多种攻击方法，但攻击原理其实都是利用平台的漏洞来向网吧服务器上传木马模块“AppRead.exe”。

比如针对“易乐游”平台包含2种攻击方法，其中一种是直接向该平台的特定服务端口发送构造数据后，实现了服务器木马的植入和启动。

“AppRead.exe”木马存在两种不同类型的版本，但本质上都是一个包含远控功能的后门。比如其中一版自制的简易后门使用内置C&C列表分别尝试远程连接进行上线，成功后则循环等待接收控制端指令。

另外一版除了包含Gh0st远控模块，还会下载一个驻留更新的程序“STUPdater.exe”，该程序使用计划任务在每天中午12点左右自动运行。

攻陷大量的网吧服务器后，作案团伙在6月7号左右开始下发一套盗取游戏账号的木马程序“Mount.exe”，该程序负责将核心盗号模块“zlib1.dll”植入到网吧客户端运行。

盗号模块“zlib1.dll”内嵌一个模块“PersonCard.dll”，PDB路径信息为“H:\股票信息\QQHook\ReflectiveDLL\Publish\Release\BaseDll\PersonCard.pdb ”透露其是盗取QQ密码的木马。该模块通过检测窗口类名称来查找相关的进程，并注入盗号代码到对应的进程中执行，数据回传的C&C地址为“123.56.86.25”。

在协助抓捕作案人员的过程中，360安全大脑根据网吧服务器木马使用的C&C地址 “www.swjoy.org” 和“www.barserver.cn”查询whois域名注册信息，发现注册人出自同一可疑人员，注册时间与该案件发生时间段也比较吻合。

而后，360安全大脑结合安全大数据追踪溯源，最终关联锁定该木马病毒作者。

360安全大脑协助追捕作案元凶

切忌沉迷游戏踏上犯罪不归途

也许是过分沉迷游戏世界，该木马作者社交软件个人说明中收藏的github链接，表明其也在研究一些网络游戏的内核代码，但最终还是走向了偷盗游戏账号的违法犯罪之路。

不得不说，适量游戏可以有效缓解日常生活中的压力，但如果过度沉迷游戏，甚至因此而走向犯罪之路，显然得不偿失。针对此次入侵网吧服务器的病毒木马，360安全大脑已实施全面拦截和查杀，为避免这类攻击态势再度蔓延，建议广大用户做好以下防护措施：

1、及时前往weishi.360.cn，下载安装360安全卫士，强力拦截查杀各类病毒木马；

2、使用360软件管家下载软件，360软件管家收录万款正版软件，经过360安全大脑白名单检测，下载、安装、升级，更安全；

3、提高安全意识，为个人电子账户设置强密码和多重验证；

4、定期检测系统和软件中的安全漏洞，及时打上补丁。

0x05 附录IOC

文件哈希

5a3a410e139eed6652c9e71ea625de29 熊猫加速器.exe

e0c8a4c5149c91b9cc8afb84e0d5fcc8 wke.dll

a267d46932c1b39519142bb4cfad465a AppRead.exe

eebb08efff13dd2100fbc81513c6c671 STUPdater.exe

9a640d97be9f7af1ad7122ce3e43c74f Mount.exe

c25442259c70d23f501907b2174c6a35 zlib1.dll

2444596d72942cdbb9944c14050a2be2 PersonCard.dll

C&C

123.56.86.25

47.110.10.104

www.swjoy.org

www.barserver.cn

128.1.137.26.ipssh.net

0x06 参考链接

https://www.shykx.com/category/416.html

https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg

https://bbs.txwb.com/thread-2080252-1.html