近日,陕西、贵州、江苏、重庆等地网吧出现steam盗号事件,我们在网吧环境捕获了该盗号样本。样本作者的水平似乎不高,整个样本是由易语言编写,通过一个exe进行远程线程注入,注入一个payload.dll到steam进程,dll在hookSteamUI.dll中TextEntry控件相关的函数,盗号哥的朋友还把一些疑似源码的东西发到了某论坛上。 今天我们来分享一下,steam被盗,我们应该怎么办? 马上点击那个“使用该帐户专用救援链接” 点击“恢复我的帐户” 点击“我已处于安全状态,帮助我重置密码并恢复帐户” 点“我不再使用此电子邮件地址” 然后会提示你锁定帐户,如果一旦收到邮箱被更改,那么,请立马去先锁定帐号 接下来,立马登入steam网站:http://help.steampowered.com/zh-cn/wizard/HelpWithLoginInfo 输入你的游戏帐号 然后点搜索 然后点“无法使用我的手机验证器” 然后输入你自己的邮箱帐号,建议你换个新的QQ邮箱 你用哪个邮箱注册的这个steam,做为找回凭证 你之前这个steam关联的手机号码 你如果用微信购买的游戏,那么在微信钱包里找到支付购买steam帐号时的账单如下图 然后其它信息写被盗,在哪里被盗,然后可以上传附件,就上传微信支付时的那个账单也可以 注意,交易号是:备注里的steampurchase后面的数字 然后提交,等2天左右。steam就会给你邮箱发送新的密码 然后你就可以用这个账号密码登入steam了,然后建议你立马修改密码,绑定手机令牌 在网吧登录自己的steam号是非常不安全的。虽然该样本是从控件里拿的账号密码,可以通过callsteamclient!SendClientLogon来绕过控件盗号,但是在steam登录协议基本等同于明文的情况下,依然不能保证不被别的方式(比如给steamclient下钩子,甚至截取UDP登录包并解密)盗号。 |
© 2001-2018 Comsenz Inc. Powered by Discuz! X3.4