新闻链接：http://www.freebuf.com/news/75775.html
新闻时间：2015-08-23
新闻正文：

一、概况

集结号游戏中心是一款拥有较高人气的棋牌游戏平台，包含百余款潮流性竞技休闲游戏，如斗地主、三国赛马、港式五张、对杀牛牛、捕鱼达人等。360互联网安全中心近期捕获到大量伪装该游戏平台的虚假安装包，这些安装包内预置了木马病毒，并采用多种技术手段对抗杀毒软件的检测查杀，本文将对其推广渠道、对抗手段以及木马行为进行全盘分析。

二、推广渠道

伪装“集结号游戏中心”的木马传播方式可以总结出以下三个特点：

1、针对国内主流搜索引擎，采取竞价排名推广，使得带有木马的虚假游戏中心网页在搜索结果中排在前面，容易被游戏玩家搜索下载到；
2、木马作者高度模仿官方网站，普通网友完全无法辨别真假网站；
3、从木马样本分析来看，木马作者具有比较丰富的杀软对抗经验，应该是黑产“老手”。
分析过程中，测试人员发现不光“集结号游戏中心”搜索结果的第一页有多个木马链接，甚至搜“集吉号游戏中心”等相似关键词也会中招。点击链接进入页面，会发现虚假页面与官方网站（www.jjhgame.com）几乎一样，某些域名与官网也高度相似，如www.jjhgwame.com、www.jjhgtame.com、 www.jjgqne.com等。可以看出，木马为了推广下了不少本钱。如下图1所示：

1.png

图1-搜索结果

点击上图中第二项搜索结果www.jjhgqne.com，页面被重定向至jjhgames.jjhgqne.com:81，见下图2，重定向页面是一个钓鱼页面，和官网风格完全一样（见图3），但其页面上的链接都指向自身（href=’#’），仅网吧版、精简版按扭指向待下载的重打包木马安装包。

2.png

图2 – 虚假页面

与此同时，在集结号游戏官方网站发现，游戏官方也提示近期在百度搜索中出现大量虚假页面，建议用户认清官网地址http://www.jjhgame.com防止上当受骗。如下图3所示：

3.png

图3-官方页面

测试发现，木马作者注册的钓鱼页面内容几乎一样，而重新打包的安装包里木马混白技术也相似，推测所有钓鱼页面出自同一作者之手。作者注册大量与官网jjhgame相似的域名，并伪造相同的页面，用以传播推广木马。

[课程]FART 脱壳王！加量不加价！FART作者讲授！