一、总述
近期,火绒安全团队截获一批绑缚在《地下城与勇士》游戏外挂上的主页绑架病毒。依据技能剖析追溯,咱们承认这些病毒的首要传达源是一个游戏外挂网站,从而发现,这个外挂站是一个巨大的“病毒窝点”,传达的电脑病毒品种之多、数量之大,令人惊奇。
整体说来,该网站隐藏三类病毒,一类是游戏用户疾恶如仇的盗号木马,二类是操控用户电脑,绑架主页的后门病毒,三类是强制绑缚装置软件的下载器病毒。该网站的用户会被随机感染数种病毒,电脑遭到耐久的多重损害和打扰。
这个游戏外挂网站是hxxp://www.dnf3996.com、hxxp://www.dnf9669.com、hxxp:// www.wg9669.com。
该站的运作流程如下:1、游戏外挂作者将自己开发的外挂程序放到该网站进行推广,并设定每个外挂的金额;2、署理商先付费取得署理资历,然后用各种方式(如 *** 群等)推广、出售这些外挂程序,赚取署理费。
《地下城与勇士》是一款用户很多的经典网游,针对这款游戏的外挂数量巨大。电脑病毒 *** 者瞄准该游戏的海量外挂用户们,将各种电脑病毒和外挂程序绑缚在一起,进行再打包,然后经过这个外挂途径往外传达。依据“火绒要挟情报体系”计算,被这些病毒感染的用户,现已覆盖了全国大部分地区。
更为奇葩的是,除了盗取游戏账号、操控用户电脑锁首(将主页强行修改为“2345”导航站)之外,第三类下载器病毒绑缚装置的,竟然是老牌杀毒软件“瑞星”。依据测验,这款“瑞星”装入用户电脑之后,各种正常的安全模块都不敞开,唯一敞开自我维护和弹窗广告模块——也便是说,除了长时间驻留电脑打扰用户之外,没有任何功用。依据软件签名和下载地址能够承认,这款“专门弹窗版”瑞星杀毒软件,并非外部团伙的篡改和构陷,而是来自于瑞星官方。
二、病毒行为简述
病毒推广站页面如下图所示:
图 1 外挂推广网站
图中所示,如“DNF XX辅佐”便是归于不同的外挂作者的推广途径,该网站中称之为端口。不同的推广端口对应的价格不同,经过一段时间的验证咱们发现,外挂带毒首要会集在贱价外挂区域,其外挂中不定期会绑缚病毒程序。该推广站所触及的病毒共有三类,一类是下载器病毒,一类是经过缝隙传达的盗号木马,另一类是具有主页绑架功用的后门病毒。
2.1下载器病毒
咱们在该站“DNF封神辅佐”推广端口下载到了绑缚此类病毒的外挂。文件特点如下图所示:
图 2 文件特点
外挂运转后,界面如下图所示:
图 3 外挂界面
其首先会开释带有数字签名且文件名随机的ThunderShell程序。如下图所示:
图 4 文件特点
ThunderShell程序发动时,会加载名为LiveUDHelper.dll的病毒动态库,该动态库中包括歹意代码。其加载后会发动体系svchost进程对其进程注入,注入内容为LiveUDHelper.dll中的一个子PE文件。该PE文件中包括真实的下载器病毒代码,履行后会下载hxxp://dl.i1236.com/dl/wrqdown2/ravv16stdf10O4120001.exe。如下图所示:
图 5 歹意推广行为日志
图 6 进程树
经过文件特点咱们能够看出其所下载的文件是一个7Z自解压包,而且包括瑞星数字签名,如下图所示:
图 7 软件装置包
图 8 数字签名详细信息
更值得一提的是,该病毒与以往咱们见到的歹意推广病毒不同,其只推广瑞星杀毒软件,且其推广的该版别瑞星杀毒软件不具有任何杀毒功用,除了自保功用外,只会不定期弹出广告,甚至连软件主界面都无法正常发动。
软件广告弹窗,如下图所示:
图 9 广告弹窗
依据域名查询成果,下载该版别瑞星杀毒软件的域名(hxxp://dl. i1236.com)与瑞星官方论坛域名(hxxp://www.ikak *** )的注册人信息共同。如下图所示:
[1] [2] [3] [4] [5] 黑客接单网
这儿仅仅简略描述了一些基础,还有一些重要的概念:应用程序域,程序集,JIT等,读者能够进行深化了解。 Level 1 → Level 2 $stmt->close();2019年7月,东巽科技2...
1).经过诱导用户替换APPStore中下载的APP运用程序,由于做了二次封装和改动,能够获取用户登录APP的账户及暗码,比方邮箱账户暗码或许银行账户暗码2.DZ图片后缀查看函数可用aaa.php#b...
}图13 在空中传达的GFSK电磁波(IQ制式)咱们经常碰到数据库假如前面或许中心+了# 能够用#替换就能够下载了固件部分的中心是编写程序的源代码。 妹纸:对了你能够在咱们这儿办卡或许会员。 -g g...
Windows 7 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)$ ls...
漏洞编号:CVE-2019-0708④使用getSP.py脚本,通过-impersonate参数模拟用户admin请求其票证,保存为ccache,admin用户为Domain Admins组的成员,具...
至此,绑架无人机的底子技术问题现现已过一个信息走漏缝隙和一个信号掩盖缝隙处理了。 首要,找到你方才JDK的装置目录,例如,本文中,我电脑的JDK方才装置在C:Program FilesJavajdk1...