如果你是一个（gè）英（yīng）雄联盟（méng）玩家，在游戏（xì）结束（shù）对局结算界面肯定看到过各（gè）种**广（guǎng）告，甚（shèn）至一度认为和你对局游戏的是人工智（zhì）能。要知道，英雄联（lián）盟这款游戏虽然已经过了巅峰期，但依旧是最受欢迎的端游，非高峰期的同时在线人数也有（yǒu）上百万人，那么这种针对英雄联盟的非法（fǎ）广告实际情况是（shì）怎样的？其原（yuán）理是什么呢？

据风暴娱乐了解，这是一（yī）种针对在线棋牌游戏（xì）进行盗号，并且（qiě）同（tóng）时（shí）能（néng）够在英雄联（lián）盟（méng）客户端（duān）内群（qún）发**广告（gào），从而进行引流（liú）的木马。木马作者通过调用（yòng）英雄联盟客户端（duān）本地消息（xī）发送的API，当一局（jú）游戏结束（shù）显（xiǎn）示（shì）战（zhàn）绩时，就会发送**群的广告（gào）或者链（liàn）接，为了避免消息被过滤拦截（jié），还会（huì）采用同音字替换的方式（shì）绕过（guò）过滤拦（lán）截。

而（ér）据（jù）风暴娱乐了解，大部分（fèn）发送此类信息（xī）的玩家，都（dōu）处于网吧环境（jìng）。在分析期（qī）间，该病（bìng）毒的插件的功（gōng）能（néng）也是每天更新，单个（gè）变（biàn）种感（gǎn）染量达3W+。

技（jì）术分析（xī）

先（xiān）大致说说该（gāi）病毒的主要（yào）运行流程：

此类（lèi）病（bìng）毒运行后，首先会复制自身到system32下一个随机命名的文件夹（jiá）里，然后重命名伪装自身为系（xì）统文（wén）件，会被伪装的文（wén）件名列表（biǎo）如下：

接着，从服务器下载一个（gè）加（jiā）密图片文（wén）件，当然，这不是病毒（dú）本体。经过多重解（jiě）密后，我们发（fā）现其为（wéi）一个DLL 文件，该DLL文件（jiàn）的（de）主要功能是（shì）去下（xià）载另外2个（gè）木（mù）马文件：英雄联盟广（guǎng）告木（mù）马（mǎ）和（hé）棋牌游戏盗号木（mù）马（mǎ）：

木（mù）马一：英雄（xióng）联盟（méng）广告木马

为防止（zhǐ）安全分析（xī）人员（yuán）溯源（yuán）、追查到其真（zhēn）实身份，病（bìng）毒（dú）作者提前将该木马上（shàng）传到了公共（gòng）图片服务器（qì）中，如：新浪、百度、网易（yì）等

上传放置（zhì）图片所用（yòng）的服务器

下载（zǎi）得到的文件，同（tóng）样是伪装加密的图片（piàn）文件，解密（mì）后，依（yī）旧是（shì）一（yī）个DLL文（wén）件，而这个DLL就是最终的木（mù）马文（wén）件。这个DLL文件中包（bāo）含了两个额外的PE文件（jiàn）：CURL库文件和一个用（yòng）于注入LeagueClient.exe进程的文件。该DLL文件加载（zǎi）运行后，首先会创建（jiàn）3个线程：

① 线程一

数据上报至统计服（fú）务器：http://api.hjhmc.com/c.php?md5=/AbW5ekasENZnoFYhA86kLY2HNZ5A2XRowvOg/qYVq6hDUJgQHR/UQ==，该网（wǎng）站后台为宝塔面板：

② 线程（chéng）二

针对英雄联盟客户端进行注入操（cāo）作，将自身释（shì）放出的一个PE文件（jiàn），注入进（jìn）LeagueClient.exe，主要为获取auth-token值和（hé）app-port值，然后将（jiāng）获取得到的值存放在（zài）C:\ a.dat中（zhōng），为后续构建（jiàn）发送消息的链接所用：

③ 线程三

根据获得（dé）的auth-token值（zhí）和app-port值，构建相应（yīng）的消（xiāo）息发送链（liàn）接，然后发送相应的广告信息，完成**广告（gào）的发（fā）送（sòng）：

不过（guò）由于相（xiàng）关服务链接的失效(http://43.224.29.58/msg/2.txt)，暂未能获取（qǔ）相应的广告信（xìn）息配置数据，但（dàn）根据该木马内置的一个关（guān）键词替（tì）换字典信息以及网上的相关反馈来看，猜测为（wéi）同一类型的木马，发送的是**类型（xíng）广告：

除了在（zài）英雄联盟客户端内（nèi）发（fā）送**广告外（wài），病毒（dú）还（hái）会利用QQ的（de）快速登录，盗取（qǔ）ClientKey值，然后在空（kōng）间的说说中，加入定时说说，定时发送广告：

木（mù）马二：棋（qí）牌游戏盗（dào）号木马

这个就简单（dān）说一下，因（yīn）为主要针对该棋牌游戏（xì）盗号木（mù）马插件主要针对（duì）以（yǐ）下4款游戏：

木马（mǎ）通过检测以（yǐ）上（shàng）4款游戏窗口找到游戏主进程，然后通过远程线程注入盗号DLL模（mó）块，挂钩指定函（hán）数，在用（yòng）户进出游戏房间、存取游戏币、修改（gǎi）帐号（hào）密（mì）码等操作时（shí）拿到账户信息（xī）并上（shàng）传。

盗号DLL模块在游（yóu）戏进（jìn）程（chéng）加载后，会挂钩游（yóu）戏相关（guān）的功能（néng）函数，拦截游戏内部（bù）消（xiāo）息。在用（yòng）户进行登录、进入房间、存取钱（qián）、绑（bǎng）定（dìng）解绑（bǎng）、修改密（mì）码等（děng）操作时，获取用户账户密（mì）码（mǎ）、银行密码、游戏币等数据，并加密（mì）上传至服（fú）务器。

其中针对登（dēng）录游戏（xì）、进入房间、修改密码这3类操（cāo）作会获取并（bìng）上报用户的机器码Pr_MAC用于（yú）远程解绑洗号，当账号异地登录时会（huì）替换（huàn）本地的提（tí）示（shì）消息，防止用户发现账号被盗（和上（shàng）面英雄联盟（méng）的（de）非法（fǎ）广告一（yī）样，玩（wán）家自己是（shì）看（kàn）不到自己发送（sòng）的**广（guǎng）告（gào）的。）：

 那么，这种盗号方（fāng）式有用吗？答案是肯定的，以下是（shì）病毒（dú）作者（zhě）服务器上（shàng）收集到的（de）账号（hào）信息：

以上就是英雄联盟非（fēi）法**广告和棋牌（pái）盗（dào）号木马程序的（de）所（suǒ）有运（yùn）行原理。风暴娱乐（hú）坚决反对任何非法**广告，对（duì）正规（guī）棋（qí）牌游戏的盗号产业也（yě）深恶痛绝。风暴娱乐坚信（xìn）只有绿色（sè）、健康的棋（qí）牌（pái）游戏才是行业的未来。风暴娱乐科技致力（lì）于（yú）棋牌游戏开发15年，拥有大量棋牌游戏（xì）成功案例。

   想开（kāi）发一款迅速盈利的棋牌（pái）游（yóu）戏，欢迎咨询热线电话：400-000-7043

扫码二维码咨询更多棋牌游戏（xì）问题

本文版权归风暴娱乐（hú）所有（yǒu），如若转载请（qǐng）注明出处（chù）