作者:佚名
更新时间:2021-03-11
浏览次数:
最近,我们检测到一个名为“ Wanqianxiu”的传奇插件(官方网站:hxxp://)传奇外挂病毒,其中带有恶意病毒驱动程序。我们将病毒命名为Strkon,该病毒劫持了用户以浏览设备主页和主要网站流量,从而牟取暴利。 传播途径 其官方网站提供两个版本补充程序,一个付费版本和一个免费版本,并捆绑有一个名为“ 传奇 Universal Transmission”的程序(官方网站:hxxp://)。这些软件都带有Strkon病毒。 病毒样本分析:(我们将继续对这种病毒进行深入分析,请期待详细的分析) 病毒的整体逻辑如下图所示。受害者通过病毒升级网站下载“万助理”客户端,并同时下载“ 传奇通用传输”。这些软件都带有Strkon病毒。运行辅助客户端或传输时,将释放并加载Strkon。病毒驱动程序负责锁定用户的浏览器主页,并劫持Bing和其他网站流量。同时,它将与远程C&C服务器通信,以获取要执行的更新和病毒策略。 Strkon(SHA1:93ec2e1f0cbe7f64c8ef3b8b17257bc9e49e208 5)文件属性如下: A,劫持首页 病毒每天都会从远程C&C服务器()获取要劫持的新主页URL,并劫持用户的浏览器主页。被劫持的浏览器列表如下: B,劫持DNS 该病毒将从C&C服务器获取要替换的DNS配置,替换本地DNS设置,并删除本地主机文件,从而完全接管用户的DNS服务。 C,劫持流量 我们发现该病毒劫持了以下主要网站流量 D,云控制 病毒作者在公共云服务器上构建C&C服务器,对各种病毒所需的配置信息进行加密并将其存储在此处(格式为#-START-#+加密配置+#-END-#)。当请求所需的配置信息时,它将被解密然后执行。同时“万千辅助”传奇外挂(官网)携带Strkon病毒驱动,此处还配置了病毒更新。下图显示了Virus Cloud Control使用的一些链接及其相应的病毒功能: E,开车对抗 与大多数Rootkit病毒一样,Strkon也进行驱动程序级别的对抗。加载病毒驱动程序后,它将劫持系统的原始驱动程序tcpip.sys并隐藏其对象名称,以避免使用防病毒软件。通过挂接PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine,PsSetLoadImageNotifyRoutine,IoRegisterShutdownNotification,CmRegisterCallback和许多其他系统api传奇外挂病毒,设置系统回调使清除病毒非常麻烦。 截至发帖,只有三家涉及病毒总数的公司可以检测到该病毒。 摘要 游戏插件是病毒传播的主要渠道。在国内外交流的广泛气氛中,很难找到一个新鲜,精致,功能强大的插件,但是该插件真的能为游戏带来乐趣吗?插件只会扭曲玩家的思维并使游戏缺乏公平性。同时,大多数插件都将携带病毒和特洛伊木马,它们无声地威胁着您的信息安全,因此,我们也提醒所有游戏玩家。公平地玩游戏。 |