逆向工程 不明程式偷偷上傳你的帳號密碼 - Raidcall Aid

最近在FB社團「RC各種輔助」有人貼了一個外掛程式
令我好奇的不是他的功能,而是他的影片示範
一開始就要在外掛先進行「登入RC帳號」的動作
不禁懷疑,背後是否偷偷在搞什麼

rafb01.png

貼文內容
在某論壇看到的 還蠻好用的~
下載:http://goo.gl/71Mx4X
* v1.1
1.優化快速創頻/刪頻
2.添加RC登入
3.新增系統優化 & 去廣告
* v1.0
1.程式誕生
Ps. 智能機制:帳密錯誤5次會自動關閉,並於幾分鐘後才可重新使用。
影片:http://youtu.be/WQsAB2g-OVU

該影片描述

發佈日期:2014年7月21日
這是RaidCall Aid的示範影片。
功能有:快創/刪/叮咚。

Ps. 智能機制:帳密錯誤5次會自動關閉,並於幾分鐘後才可重新使用。

下載:http://goo.gl/5vksIz

抓下來立馬開始分析,不意外,是VB6寫的
frmMain在載入時會檢查"C:\Windows\Accounts"是否存在,不存在會建立一個
然後會讓WebBrowserc預先載入RC語音論壇登入頁面
以備讓使用者「登入」

.text:004081DC                 mov     [ebp+var_40], offset aCWindowsAccoun ; "C:\\Windows\\Accounts"
.text:004081E3 mov [ebp+var_48], 8
.text:004081EA lea edx, [ebp+var_48]
.text:004081ED lea ecx, [ebp+var_38]
.text:004081F0 call ds:__vbaVarDup
.text:004081F6 push 10h
.text:004081F8 lea eax, [ebp+var_38]
.text:004081FB push eax
.text:004081FC call ds:rtcDir
.text:00408202 mov edx, eax
.text:00408204 lea ecx, [ebp+var_24]
.text:00408207 call ds:__vbaStrMove
.text:0040820D push eax
.text:0040820E push offset dword_4055F0
.text:00408213 call ds:__vbaStrCmp
.text:00408219 neg eax
.text:0040821B sbb eax, eax
.text:0040821D inc eax
.text:0040821E neg eax
.text:00408220 mov word ptr [ebp+var_5C], ax
.text:00408224 lea ecx, [ebp+var_24]
.text:00408227 call ds:__vbaFreeStr
.text:0040822D lea ecx, [ebp+var_38]
.text:00408230 call ds:__vbaFreeVar
.text:00408236 movsx ecx, word ptr [ebp+var_5C]
.text:0040823A test ecx, ecx
.text:0040823C jz short loc_408250
.text:0040823E mov [ebp+var_4], 6
.text:00408245 push offset aCWindowsAccoun ; "C:\\Windows\\Accounts"
.text:0040824A call ds:rtcMakeDir

然後使用者輸入完帳密按「登入」後,填到WebBrowser的表單上送出
帳密會紀錄到"C:\Windows\Accounts"下
檢查登入後的網址是否為成功登入的狀態
錯誤則會將錯誤計數加一,並由一個Timer檢查錯誤次數
登入成功會馬上將帳密上傳到FTP!

.text:00408C58                 test    ecx, ecx
.text:00408C5A jz loc_40937F
.text:00408C60 mov [ebp+var_4], 0Dh
.text:00408C67 mov [ebp+var_90], offset aFtpFtp_clouds_ ; "ftp://ftp.clouds.tw/"
.text:00408C71 mov [ebp+var_98], 8
.text:00408C7B mov eax, 10h

透過程式內的帳號密碼登入這個FTP,發現已有受害者
截至本文發表前有10人RC語音帳密被不肖份子盜取
raftp.png