626 QQ盗号文件分析（wegame文件下被劫持）

近日，有电竞酒店维护人员通过安全球检测发现了这个多余的文件，将文件提出给安全球团队分析之后得出异常文件2个，网址1个。

通过域名解析发现txc.gtimg.com 有多达十几个IP  。但是这个域名是腾讯自己的，应该是正常的。

异常文件

twain_66.dll

fszwd.dat（这个异常文件替换了腾讯自己的正常fszwd.dat）

下面是分析记录：

该图针对a-z的记录截图不全，后面有看到更全的，但是并没有截全而已

上下两张图应该是这个执行文件生成的两个文件，大家可以通过搜索工具将其找出

在检测窗口了，一直检测不到，网络不通，后面有报错

在监测wegame窗口

方便为上传时做一个记录，什么时候上传的，好方便日后使用

至此，该程序已全部分析完，大家可以各显神通，将文件屏蔽了