相信大家都应该经历过盗号的事,不知道大家有没有吃鸡账号莫名被封的经历,不少网友表示,自己就玩了几局吃鸡,也没开外挂,账号怎么就莫名其妙地被封了?
![](https://p3-sign.toutiaoimg.com/pgc-image/e05bd5ae42fd40e5a4313b14ea1867e6~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=7mzPE8O1%2Bpko3uKBVHyicAHWRII%3D)
虽然绝地求生的热度有所下降,但还是有不少玩家会去网吧玩吃鸡,可随着盗号团体愈发猖獗,被封号的玩家越来越多,甚至有些网友的Steam账号都被盗了。有大佬发表了自己的看法,称这其中的关键是一个小文件。
![](https://p3-sign.toutiaoimg.com/pgc-image/f2fb3797a2a54934bb2883660642fa18~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=4Hx%2F99SzUB6FksZtxZD7I%2B28QxQ%3D)
这个文件会在玩家用新电脑登陆Steam时生成(位于Steam文件夹),而盗号者们正是通过这个以“ssfn”为前缀的小文件,来盗取Steam玩家的账号。大家知道当Steam用户绑定邮箱或者手机的时候,想要在一台新电脑上登陆Steam,就需要玩家授权,而ssfn正是与授权相关的文件。
![](https://p3-sign.toutiaoimg.com/pgc-image/c037ab7be36b4ebea957f2eee799227d~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=nK9Y%2FcEDp4z8exQfD4qP0faqWQU%3D)
(就是这个软件)
要想登陆Steam,就需要账号、密码和验证。获得玩家账号和密码的方法有很多,最容易得手的就是魔改Steam登陆界面,将玩家的账号密码保存在一个日志文件中。而验证码分为两种,手机令牌的动态码和登陆新电脑的授权码(长时间存在,不改变),ssfn文件拥有后者的信息,能帮助盗号者通过验证这个环节,从而通过玩家账号登陆Steam。
还有一种就是很多用户是利用第三方安装程序安装的steam客户端,而这类第三方安装程序携带恶意代码,在安装steam客户端的同时会窃取用户的账号密码和ssfn授权文件。
![](https://p3-sign.toutiaoimg.com/pgc-image/3e719a8808f4426791fd0df89824ba42~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=1tb69jSDajljBKvUT1BNSEGK8GQ%3D)
在该网站下载的安装包与steam官网下载的安装包图标是一样的,但是官网下载的安装程序携带正常的数字签名,两者文件属性对比,如下图所示:
![](https://p3-sign.toutiaoimg.com/pgc-image/2c9fccab842f41fca5b1bf4749f3ec66~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=T8lh7b1GBv5zN7kLL%2FjYPp55SG0%3D)
当用户使用第三方安装程序后,病毒代码会被激活,通过创建一个定时器来执行相关盗号逻辑。定时器会不断遍历steam安装目录,当找到ssfn授权文件后,再去steam进程的内存中搜索登录名和密码,最后将搜集到的数据发送到C&C服务器,整体代码逻辑,如下图所示:
![](https://p3-sign.toutiaoimg.com/pgc-image/fd2a2916a36e4f169361272fb095209b~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=GcpjC3ky7N%2BWNyxUvKG0ZbvduDM%3D)
利用wireshark抓包:
![](https://p9-sign.toutiaoimg.com/pgc-image/3c7e4d7c096d4224808996d5b04e4c63~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=t9oMp62OLqVzk2DqkQWVeSumsa4%3D)
我们在网上看到有很多此类中毒问题的帖子,其中还有热心网友贴出\"定制\"此类盗号木马的很多信息,提醒steam用户防止被盗号,相关帖子信息如下:
![](https://p3-sign.toutiaoimg.com/pgc-image/27da2107939643cea15e3b1d80734dbf~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=eQOo%2F5mpUwYzyItCaRinU4JYi9k%3D)
而黑产团队通过此类木马盗取steam账号之后,再通过网上各种渠道低价将账号出售,每个steam账号加上ssfn授权文件的市场价为20元/个。
![](https://p3-sign.toutiaoimg.com/pgc-image/e389922d47ce4dfc8f496b51501a66ce~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=%2B2VoGyXtOk4zfnYIGg5Eg74OunQ%3D)
这些盗号团队往往以吃鸡玩家为目标,并贩卖外挂和Steam账号来获得金钱。如果修改不了你的密码,那就把这个账号和外挂一起卖给想要的人(密码未变,但给授权给了其它的电脑),这样即使账号被封,他们也不会有任何损失。
玩家的吃鸡账号莫名被封,一般都是因为账号被他人用来开挂所导致的,而这5种情况会让盗号者得手(登陆Steam):登陆时勾选了“记住密码”;没有退出Steam账户;留下ssfn文件;点击未知链接;手机连接不安全的WIFI。由于不少邮箱是有漏洞的,只绑定邮箱的玩家遇到这些情况时有可能会被盗号。
![](https://p3-sign.toutiaoimg.com/pgc-image/cc5b145987014a3eb2bebbf3580c24f8~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=7UMYRu4y7AWGvIqcoW9hp4I04yA%3D)
(这些链接别去点)
虽然手机令牌能有效地防止账号被盗,但即使不能修改密码,这些手段也能让他人用你的账号登陆Steam,然后开挂使你的吃鸡账号被封,而最后一种行为依然会导致你的账号被盗。去网吧和玩吃鸡的这两类玩家请注意这几点:不要勾选“记住密码”;删除ssfn文件(Steam文件夹);结束时解除授权并退出账号(Steam设置-账户-令牌安全设置)。
![](https://p3-sign.toutiaoimg.com/pgc-image/68fe6fdb7b604e1e9ace444fb5d5ce96~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=JpoVqDuVvIJlUXeaPkzzSeOzld8%3D)
对于很多steam玩家来说,在一个steam账号上的投入绝对不止20元人民币,但是对于黑产来说,只是众多流水账上的一个数据。很多玩家面对盗号木马也只是\"英雄难过盗号关\"。
![](https://p3-sign.toutiaoimg.com/pgc-image/e358187e751640f788c4705d90d32503~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=BNwDNURT%2BFZZPOzNlXf%2BYW2iM4g%3D)
希望这篇文章对大家有所帮助,尽量别去点开一些不是官方的链接,在此我们也提醒广大游戏玩家,使用官网提供的游戏安装程序,以免游戏账号被盗。
![](https://p3-sign.toutiaoimg.com/pgc-image/8b1653418d6642e4819ae6c8f108e925~tplv-tt-large.jpeg?x-expires=1969987499&x-signature=RgLeaT%2BaPwhsnSXEoWu6cx6LHco%3D)