昨天晚上，有又朋友，说，有一个好东西，发给我。

然后我们一直在忙，现在才有空分析了一下。

现大致大分析过程写一下吧。算是分享！

我们拿到这个病毒后，直接在电脑上运行，启动STEAM，

然后我们的病毒检测工具，就直接报毒了。这个病毒库

我们在去年就加入了！

但是最近病毒作者好像又更新程序了。

我们分析他给我们的TOOL这个压缩包，应该是服务器被黑了，

然后手动安装的开机启动！

我们先从这个TOOLS里的 CSRSS.exe 程序的修改时间是2019.4.23号晚上，

应该是才更新的！

http://xiazz.net:2016/save.exe

http://xiazz.net:2016/dwm.exe

http://xiazz.net:2016/mstsc.exe

这个程序，只是一个下载者，会从这个网站下载他需要的病毒，等等

大家自己看一下，下载量，还有更新时间吧！！！

然后我们为什么说是STEAM盗号的，然后我们来分析他最近更新的文件

SAVE.exe 加壳的 E语言程序。

经过我们脱壳。然后自己看这个程序干嘛的吧

自己看上图代码吧，上传的IP，SSFN文件，令牌，这就是为什么，绑定了令牌也会被盗。

1.建议，不管如何，还是开个手机令牌！提醒顾客

2.封掉上图中，出现的病毒IP，下载网站

http://xiazz.net:2016/

119.188.246.40

这几个IP已经提交给文网卫士，贵公司会不会统一封掉，就不是很清楚了。

3.安装我们的华夏网盟防盗号工具，可以防止大部分针对STEAM盗号的问题。

以下是我们的今天的发信截图，就是如果您网吧有STEAM盗号，或者被黑

我们会通过邮件提醒您！

我们的病毒检测工具：

https://www.hxwglm.com/thread-38061-1-1.html

学习了